吳昊
【摘 要】現(xiàn)代社會(huì)是個(gè)信息化高速發(fā)展的社會(huì),很多企業(yè)都很注重自身的信息化建設(shè),國(guó)內(nèi)很多保險(xiǎn)企業(yè)亦是如此,都在積極開(kāi)展數(shù)據(jù)中心的建設(shè)。但是保險(xiǎn)企業(yè)在構(gòu)建自己的信息化平臺(tái)的時(shí)候,往往忽視了信息安全管理。信息化雖然提高了企業(yè)的運(yùn)營(yíng)效率,同時(shí)也加大了企業(yè)的信息安全風(fēng)險(xiǎn),所以構(gòu)建一個(gè)安全的信息管理體系就非常重要了。本文主要闡述了保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建問(wèn)題,通過(guò)計(jì)算機(jī)信息安全管理達(dá)到信息化建設(shè)的健康發(fā)展。
【關(guān)鍵詞】信息安全管理;保險(xiǎn)企業(yè);體系構(gòu)建
0.引言
保險(xiǎn)企業(yè)的計(jì)算機(jī)信息安全管理給企業(yè)自身的發(fā)展帶來(lái)了非常多的好處,不僅能夠?qū)崿F(xiàn)企業(yè)辦公的自動(dòng)化和信息化,同時(shí)也提高了企業(yè)的運(yùn)營(yíng)效率。保險(xiǎn)企業(yè)的信息化主要是保險(xiǎn)企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ),在一定的深度和廣度上利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫(kù)技術(shù),控制和集成化管理企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中的各種信息,實(shí)現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用,以提高企業(yè)的經(jīng)濟(jì)效益和市場(chǎng)競(jìng)爭(zhēng)力。從目前的保險(xiǎn)企業(yè)來(lái)看,很多企業(yè)都已經(jīng)開(kāi)發(fā)了適合自己企業(yè)的計(jì)算機(jī)信息系統(tǒng)來(lái)滿足企業(yè)的運(yùn)轉(zhuǎn),企業(yè)通過(guò)開(kāi)發(fā)計(jì)算機(jī)信息系統(tǒng)平臺(tái),提高了自身產(chǎn)品、經(jīng)營(yíng)、管理、決策的效率和水平,進(jìn)而提高了企業(yè)的經(jīng)濟(jì)效益和競(jìng)爭(zhēng)力。同時(shí),我們也要注意到,保險(xiǎn)企業(yè)開(kāi)發(fā)計(jì)算機(jī)信息系統(tǒng)是好事情,但是如果忽略了對(duì)計(jì)算機(jī)信息安全的管理,就將是個(gè)大問(wèn)題。在如今,計(jì)算機(jī)信息安全性對(duì)于保險(xiǎn)企業(yè)來(lái)說(shuō)比開(kāi)發(fā)系統(tǒng)更為重要,企業(yè)一旦出現(xiàn)信息安全問(wèn)題,后果不堪設(shè)想。有最新的數(shù)據(jù)表明,計(jì)算機(jī)病毒和黑客攻擊已經(jīng)給國(guó)民經(jīng)濟(jì)和企業(yè)造成了難以估量的損失。所以,保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建迫在眉睫,必須要引起高度重視。
1.保險(xiǎn)企業(yè)信息安全管理的現(xiàn)狀
計(jì)算機(jī)信息安全問(wèn)題不是保險(xiǎn)企業(yè)才存在的問(wèn)題,是全球企業(yè)都存在的普遍問(wèn)題,越發(fā)達(dá)的地區(qū),信息安全存在的隱患越多。一方面,現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非??欤畔⒓夹g(shù)的日趨完善,出現(xiàn)了很多的惡意攻擊工具,再加上信息系統(tǒng)本身的漏洞,讓一些破壞分子更是有機(jī)可乘;從另外一個(gè)角度來(lái)看,企業(yè)自身對(duì)信息安全管理不重視,也是導(dǎo)致出現(xiàn)信息安全問(wèn)題的首要原因之一。近年來(lái),保險(xiǎn)行業(yè)處于高速發(fā)展的時(shí)期,暴露出的問(wèn)題也相對(duì)比較多,我們應(yīng)該重視起來(lái)。下面列出了當(dāng)前的保險(xiǎn)企業(yè)在信息安全管理上存在的主要幾點(diǎn)問(wèn)題:
1.1沒(méi)有相關(guān)的法規(guī)來(lái)約束
與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多,但尚未形成一個(gè)較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時(shí)現(xiàn)有的法規(guī),由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化,法規(guī)也不能很好地被執(zhí)行。因此,保險(xiǎn)行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無(wú)體系化,導(dǎo)致保險(xiǎn)企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。
1.2沒(méi)有引起足夠的重視
很多保險(xiǎn)企業(yè)的管理層對(duì)信息安全管理不太關(guān)注,不夠重視,沒(méi)有投入足夠的人力、物力和財(cái)力去管理。大部分保險(xiǎn)企業(yè)在公司治理上重點(diǎn)關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展,銷售策略調(diào)整,組織結(jié)構(gòu)和運(yùn)營(yíng)流程的優(yōu)化等,對(duì)信息安全管理不太重視,不太相信信息安全問(wèn)題能給企業(yè)會(huì)帶來(lái)嚴(yán)重危機(jī),直到發(fā)生了信息安全事件后之后才開(kāi)始重視。因此,保險(xiǎn)企業(yè)必須在公司日常治理中投入足夠的時(shí)間和精力去完善企業(yè)的信息安全管理體系。
1.3對(duì)存在的風(fēng)險(xiǎn)評(píng)估不夠
很多保險(xiǎn)企業(yè)在設(shè)計(jì)搭建相關(guān)信息系統(tǒng)的時(shí)候?qū)Υ嬖诘娘L(fēng)險(xiǎn)評(píng)估不夠,沒(méi)有充分考慮到信息化所帶來(lái)的安全風(fēng)險(xiǎn),通常只是考慮到信息技術(shù)問(wèn)題,對(duì)于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問(wèn)題欠缺考慮。其實(shí)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)不做評(píng)估或評(píng)估不充分,都會(huì)帶來(lái)嚴(yán)重的后果,一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時(shí),系統(tǒng)受到破壞,正常的業(yè)務(wù)操作無(wú)法進(jìn)行,嚴(yán)重的可能會(huì)導(dǎo)致企業(yè)內(nèi)部機(jī)密、客戶個(gè)人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以,保險(xiǎn)企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來(lái)的安全問(wèn)題的。
1.4沒(méi)有制定相應(yīng)的安全管理?xiàng)l例,無(wú)明確責(zé)任劃分
保險(xiǎn)企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問(wèn)題,和企業(yè)沒(méi)有制定相應(yīng)的安全管理制度,沒(méi)有明確責(zé)任劃分等有很大的關(guān)系。沒(méi)有相關(guān)的信息安全管理制度去制約,出了信息安全問(wèn)題以后的責(zé)任劃分不清晰,長(zhǎng)此以往,信息安全問(wèn)題的監(jiān)管就會(huì)出很大的漏洞,也很難形成一個(gè)可控的信息安全管理體系。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該是整個(gè)企業(yè)員工共同面對(duì)的問(wèn)題,而不是企業(yè)某個(gè)部門或者某些個(gè)人能夠決定的事情。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分,每個(gè)部門都應(yīng)該有信息安全的負(fù)責(zé)人,出了問(wèn)題要做到有人承擔(dān),如果不這樣的話就會(huì)影響到信息安全管理體系的構(gòu)建,成為企業(yè)信息安全管理的絆腳石。
所以,針對(duì)以上種種問(wèn)題和現(xiàn)狀,保險(xiǎn)企業(yè)必須要形成一個(gè)良好的信息安全管理體系,這樣才能從根本上解決問(wèn)題,發(fā)揮信息化建設(shè)的作用,保障企業(yè)的計(jì)算機(jī)信息安全。
2.保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建
2.1掌握安全管理標(biāo)準(zhǔn),構(gòu)建安全管理基本框架
要熟悉掌握信息安全管理標(biāo)準(zhǔn),對(duì)信息技術(shù)的安全管理標(biāo)準(zhǔn)要進(jìn)行不斷深入的理解,不能僅僅考慮到信息技術(shù),而忽視了信息安全管理。國(guó)際上對(duì)安全管理研究已經(jīng)取得了一定的成果,推出了信息安全標(biāo)準(zhǔn),成立了信息安全標(biāo)準(zhǔn)化組織,搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國(guó),雖然信息安全的研究起步比較晚,但是也在不斷的完善中,已經(jīng)制定了適合我國(guó)國(guó)情的信息安全管理標(biāo)準(zhǔn)。我國(guó)提出的關(guān)于《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn),主要把信息安全劃分成自主保護(hù)級(jí)、系統(tǒng)審核保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)等五個(gè)安全程度不同的安全等級(jí),根據(jù)這五級(jí)標(biāo)準(zhǔn),也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以,保險(xiǎn)企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn),構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架,這對(duì)于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。
2.2實(shí)現(xiàn)科學(xué)的信息安全管理
保險(xiǎn)企業(yè)要實(shí)現(xiàn)科學(xué)的信息安全管理,不能不考慮信息安全影響而隨意的進(jìn)行信息管理。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該要包括對(duì)機(jī)構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場(chǎng)地設(shè)施安全管理。保險(xiǎn)企業(yè)需要采用一些科學(xué)的方法,如科學(xué)化企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型等,建立科學(xué)的可實(shí)施的計(jì)算機(jī)系統(tǒng)安全策略,采取規(guī)范的安全防范措施,選用可靠穩(wěn)定的安全產(chǎn)品,設(shè)計(jì)完善的安全評(píng)估標(biāo)準(zhǔn)和等級(jí),實(shí)施有效的審核措施等來(lái)實(shí)現(xiàn)對(duì)信息的安全管理。
2.3進(jìn)行有效的安全風(fēng)險(xiǎn)評(píng)估
保險(xiǎn)企業(yè)在搭建信息化平臺(tái)的時(shí)候,必須要進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估,沒(méi)有風(fēng)險(xiǎn)的評(píng)估是很難實(shí)現(xiàn)信息安全管理的。同時(shí),還需要在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估中制定出風(fēng)險(xiǎn)的應(yīng)對(duì)方案,便于應(yīng)對(duì)突發(fā)問(wèn)題,從最大程度上保證信息的安全。
2.4合理配置安全產(chǎn)品
對(duì)于評(píng)估出來(lái)的風(fēng)險(xiǎn),保險(xiǎn)企業(yè)可以對(duì)信息系統(tǒng)配置一些安全產(chǎn)品來(lái)規(guī)避信息安全風(fēng)險(xiǎn)。比如說(shuō)系統(tǒng)存在一些漏洞,這些漏洞很容易受病毒的攻擊,那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來(lái)防止病毒的侵入。在配置產(chǎn)品的時(shí)候需要注意配置的合理性,不能什么安全產(chǎn)品都去配置,要通過(guò)最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。
【參考文獻(xiàn)】
[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷,2011(06).
[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護(hù)方案的研究[J].鐵道運(yùn)輸與經(jīng)濟(jì),2006(11).
[3]苗亮.計(jì)算機(jī)網(wǎng)絡(luò)可靠性的研究[J].機(jī)械工程與自動(dòng)化,2010(03).
[4]戴宗坤.信息安全法律法規(guī)與管理/信息安全理論與實(shí)用技術(shù)叢書,2005.
[5](美)惠特曼信息安全管理/信息安全叢書,2005.