作为一家保险公司,中国人寿在为公众提供保险服务的同时也必须关注自身信息系统的“保险”问题,即建立健全而规范的信息安全保障体系。凭借扎实的工作和不懈的努力,包括信息安全管控在内的中国人寿内控工作于2007年顺利通过了美国风险控制“重典”萨班斯法案的首年审计,充分体现出公司安全管理合规性和信息安全内控力度已经与国际全面接轨,公司的国际竞争能力已在“建设国际顶级金融保险集团”和“打造国际顶级IT能力”的进程中提升到新的高度。目前,中国人寿已经建立起包括建设基础防御体系、安全风险评估、安全管理体系、信息交流机制和全面监控五部分的“大安全”体系。
“控制环境”是企业内控的基础;“风险评估”是有效发现风险、完成内控的前提;“控制活动”是实现企业经营合规、完成内控的主要过程;“信息与沟通”则是企业实现内控活动的有效保证;“监控”是保障内控活动、反馈工作效果、实现沟通信息源的重要手段。它们相互影响,相辅相成,共同在企业内控活动中发挥作用。
控制环境:建设基础防御体系
中国人寿通过多年建设与投入,建立了遍布全国36家省级公司、300多家地级公司、近3000家县级公司及10000多家营业网点的四层信息网络,网络覆盖渗透至两乡,生产与办公线路分离,并且有良好的扩展性。
在庞大的信息网络上,中国人寿不走传统安全建设中“产品导向型”的老路,而是在“需求导向型”的防御体系建设思路下有效地配置从边界防火墙、网络IDS、远程接入VPN、统一病毒防御等产品和技术,建设起四级边界防御体系、三级病毒统一管理系统和有线、无线网络准入控制机制,在规模化、分布化、网络化、多样化中出效果。同时,中国人寿把“买服务”和“买产品”放在同等重要的地位上,在渗透测试、应急响应、安全咨询等方面购买了相关服务。通过以上手段,中国人寿实现了对整体信息环境的安全管控。
风险评估:信息风险评估
中国人寿参照国际上通行的风险评估标准并结合自身特点,参考公司层面控制、IT一般控制、IT应用系统控制、人工依赖系统控制的逻辑架构,个性化设计了以自主风险评估为主,辅以外购专业风险评估服务的企业信息系统风险评估方法,于2006年、2007年连续在全系统范围内成功实行了两次年度信息安全风险评估工作,出具了《年度风险评估结果报告》、《年度风险处置计划》等相关文档,为管理层的信息安全管理决策提供了有力支持,公司将信息系统的风险评估结果纳入风险管理动态运作体系的PDCA(Plan-Do-Check-Act)大循环中,以评估结果与企业安全目标的差距作为工作指引,以消除差距为目标进行了信息安全建设与管理的持续改进。
控制活动:安全管理
在控制活动方面,中国人寿建立面向活动控制的安全管理体系,管理信息建设全过程的各类人工与非人工活动。
中国人寿将团队组织建设放在基础位置,建立起覆盖全国的安全管理队伍,强调对人员进行技能培训,更强调团队合作,注重团队自主创新能力的培养,并通过互联网平台,构建起具备实时沟通能力的虚拟工作团队,“总”“分”一体应对信息安全威胁。
在组织建设的基础上,中国人寿在安全管理上积极采用国际先进方法,学习成熟经验,同时突出自主性,逐步摸索出适合自身发展需求的先进安全管理理念,从计划、组织、领导、控制四个环节实施管理工作,建立起统一用户安全管理系统,以安全运行报告为监督手段和沟通手段,以全网安全事件应急响应为演练目标,建立起了企业级信息安全应急响应体系,特别注重了安全建设期与安全运维期的差异性管理,进一步加强安全系统运维期的规范管理工作。
信息与沟通:信息交流机制
组织决策是信息化建设的决策与执行保障。中国人寿积极组建“信息化建设委员会”,从公司总体发展战略需要的角度出发,行使信息化建设项目的决策权,并保障建设项目所需资源,就重大建设项目提出技术咨询建议,供决策层参考。“信息化建设委员会”负责所有建设项目的协调和组织、执行与控制。公司还成立了信息安全领导小组及工作小组,专项负责企业级信息安全建设工作。通过三个组织间的沟通与协调,全面保障公司信息安全的整体规划与实践。
在上述组织的组织与指导下,中国人寿已撰写完成了《中国人寿信息技术管理制度》,其中包括29个制度、60个流程、144个表单,并将这个制度在公司自主开发的IT管理平台上以流程化、自动化方式加以实现。
监督:全面监控
监督是评估内控系统在一定时期内运行质量的过程,中国人寿建立了完备的内部监督与控制体系,在信息安全层面,公司建立了保障信息安全工作持续 有效地执行与审计的措施,以IT资产为核心,通过安全管理、运行管理、服务管理、一般性管理等一套完整的管理体系,实现综合管控,达到效果倍增的作用。主要监控手段包括:基于NIDS的入侵监控,防病毒监控系统,桌面机监控系统,网络监控系统,主机监控系统,数据库审计管理,以及在统一管理上述安全风险的基础上实现统一的安全管理平台(SOC),以持续性的监控程序实现动态地应对环境的风险变化,并以全面监控体系的分析数据,为公司信息化决策层面、IT管理层面、风险控制层面提供了基于信息安全的有效决策依据。