保險公司信息安全管理的解決方案初探

管理縱橫

作者：張偉星

【摘要】信息時代的到來給保險公司的未來發展開辟了廣闊的天空。隨著保險公司對信息技術依賴性越來越強，信息安全的重要性也日益凸顯。本文首先分析了保險公司對信息安全管理上普遍存在的一些問題，然後提出了一套係統性處理信息安全的解決方案，為保險公司解決信息安全問題提供了一種思路。

【關鍵詞】信息安全管理 保險公司

一、保險公司信息安全管理的意義

科學的進步，信息技術的發展使當今的社會步入了互聯網和大數據的時代。這一時代的變革給社會經濟帶來了深刻的影響，產生了許多顛覆性的創新，改變了人們傳統的行為習慣、企業的商業模式和市場的競爭格局。

整個社會正在發生革命性的變化，世界在邁向信息化的過程中，也給保險行業的發展帶來了更廣闊的天空。信息技術在未來的保險領域中承載著越來越重要的作用，然而，新技術的應用和推廣中，風險與機遇是並存的。技術上的缺陷，安全管理上的漏洞，都將使得信息和信息係統的安全產生嚴重的問題，甚至於危害人們生命與財產的安全。因此，研究和製定保險公司的信息安全戰略，提升保險公司安全保障能力，架構保險信息安全體係是我們麵臨的重大課題。本文的研究目的就是對保險公司的信息安全管理體係解決方案進行探索，為保險公司的大力發展提供有力的安全保障和基礎。

二、保險公司信息安全管理中普通存在的問題

盡管在日常生活中，人們對越來越多暴露出的信息安全問題愈發的敏感和關注，但是普遍來說，整個保險行業對信息安全問題的整體認識不足，缺乏必要和實質的行動，主要存在的問題有以下幾個方麵：

（一）管理層對信息安全的意義認識不足

管理層對信息安全的認識還沒有達到戰略性的高度，沒有意識到信息安全問題將滲透到企業的方方麵麵，沒有意識到信息安全管理能力將成為企業未來的核心能力。由於管理層重視程度不高，導致了對信息安全管理上人力和物力的投入不足，許多企業的信息安全管理水平不理想。

（二）信息安全管理上缺乏全局思維

保險公司的安全管理目前仍然缺乏一整套完善的規範約束，重視其中的技術問題，輕視了管理問題；重視客觀性問題，輕視人為主觀性因素；重視對外部環境的安全，輕視內在存在的隱患；以靜態的觀念思考問題，缺乏前瞻性思維。

（三）信息安全治理的成熟度較低

信息安全治理要包括風險管理，組織流程，策略執行，責任到崗等一整套治理體係，目前許多保險企業的信息安全管理的成熟度仍然處於初級階段，表現為有局限性的安全保障行為，距離成熟的治理結構，即全麵動態優化的階段，還有比較長的距離。

（四）安全管理基礎薄弱，對安全保障有行為沒有體係

信息安全問題不僅是技術上問題，，更要麵臨管理的問題。需要利用技術手段去支持管理手段，利用管理手段提升技術手段應有作用的有效發揮。許多企業對安全的決策沒有整合到整個管理體係流程中，對風險的防範是片段的、分散的、局部的，也缺乏專業的安全治理部門和責任人對安全問題進行評估、監督和優化。

鑒於以上存在的問題和現狀，保險企業需要深刻的理解信息安全問題的重要性，建立和健全一整套的信息安全管理體係保證安全戰略的規劃和部署，在信息技術的支持下，促進行業和企業的高速發展。

三、建設和實施信息安全體係的步驟

《保險公司信息係統安全管理指引（試行）》中指出：信息係統安全工作應按照“積極防禦、綜合防範”的原則，與自身業務及信息係統同步規劃、同步建設、同步運行，構建完備的信息係統安全保障體係。信息安全不是對單一的信息產品進行防護，而是構築綜合防禦體係。一個典型的綜合防禦體係的構築過程包括如下步驟：首先，明確信息安全的目標，並建立和完善企業安全治理結構，進而識別和評估企業中存在的安全風險，涉及的相關主體和麵臨的各項約束，形成安全評估報告，並製定相關的安全控製規劃，建立分層次的安全管理體係，最後，對安全管理活動進行持續性的評估、監督、控製和改進。這個過程是個PDCA的過程，安全體係會隨著外部環境的變化、業務情況的變化和信息技術的改進而產生新的需求，新的方法，因此它需要不斷更新改進，是一個動態發展的過程。