保险业信息安全仍是监管重点(1)
来源:中国计算机报 更新时间:2012-04-15

作者:姚世新  

 由保监会统计信息部主办、人保集团承办,首届中国保险业信息化高峰论坛日前在杭州市召开。来自人民银行、国家信息测评中心、国家信息化专家咨询委员会以及保险业内会议代表共80多人参加了论坛。

  本次论坛的主题是“信息安全与风险管理”。保监会副主席李克穆在致辞中指出,举办这次论坛旨在加强保险业信息化交流,推进全行业信息化建设,防范保险业的信息安全风险,论坛具有十分重要的意义。信息安全无小事,金融保险业是我国经济发展的命脉,是国家级重要信息系统,信息化已经深入到保险业务的每一个环节,保险业的信息安全工作非常重要,如何有效地识别和控制各类信息技术风险成为摆在我们面前的重要课题。

  李克穆指出,信息化是当今世界保险及其他金融领域发展的重要趋势,是保险业又好又快发展的重要动力。回顾过去,我们的信息化建设取得了长足进步,信息化水平已经成为衡量一个保险企业核心竞争力的重要标志。中国保监会十分重视保险业的信息化建设工作,近年来为促进全行业的信息化发展做了大量的工作,通过制定行业规划、出台规章制度、开展标准化建设、鼓励科技创新和推动行业交流等一系列举措,不断改善保险业信息化发展基础环境,推动行业信息化工作健康发展。同时,保监会也在致力于推进监管信息化,通过信息化提高保险监管工作的水平和效率,带动全行业信息化水平的提升。

  李克穆表示,从客观的角度来看,当前我国的保险业信息化还处在发展的初级阶段,其现状与我们发展保险业的要求仍不相适应。主要表现在:一是重视程度不足。一些公司没有认识到信息化所能发挥的重要作用,仍然把它放在一个辅助和从属的位置。二是应用深度不够。部分公司虽然在战略上十分重视信息化,但并没有转化为具体应用中的生产力,仍然停留在口头上和规划中。三是信息化工作开展还不够系统。很多公司虽然开展了一些应用,但不成体系,投入和产出不成比例,存在着信息孤岛、重复建设、低效建设等诸多问题,没有最大限度地发挥信息技术的实效。四是在信息化工作中重应用、轻安全,很多公司只顾埋头建设,忽视信息安全,为保险公司的持续发展和稳健经营留下了隐患。

  虽然近年来,保险业的信息安全保障工作在制度建设、安全建设和应急管理等诸多方面都取得较大进展,整个保险信息系统保持了良好的运行状况。然而,我们也要看到当前面临的信息安全风险还很严峻,保险业的信息安全工作失误不得、马虎不得。今后,中国保监会将继续把信息安全工作作为对保险公司监管的重点,推动各保险公司进一步提高认识,加大信息安全投入力度,做好灾难备份与恢复工作,加强信息安全事件的研判和应急处置能力,完善信息安全保障体系。

与会代表通过论坛达成共识:一、信息安全非常重要,保险业在信息安全建设方面虽然成绩显著,但面临的形势不容乐观。二、信息安全不仅仅是IT部门的事,应该引起公司的高度重视。三、推行信息安全管理国际标准认证,对行业发展也是一个很好的契机。四、信息安全硬环境建设重要,软环境建设更重要,需要从企业战略发展、企业文化建设等方面进行全面部署,同时也需要全行业的共同努力。

  平安集团副总经理兼首席信息执行官罗士礼在主题演讲中提出一个观点:安全不是必然的,意料之外的事是会发生的。因此,安全是要计划、构建、执行,及不断复查、更新的。信息安全不是在一天就可以建立起来的,业务持续性方案也是必要的。

  他认为,强调人员的安全意识、业务流程控制在信息安全规划中不可分离的原则。他说,信息安全工作不局限于IT,业务人员的落实执行同样重要。人永远是信息安全中最弱的一环。执行信息安全的工作,人人有责 。

  人保集团信息技术部总经理封建强在主题演讲中介绍,人保在推进信息安全建设的过程中认识到,先进的技术和设备是重要的,但不是万能的。“三分技术、七分管理”,关键是要把安全技术与运行管理机制、人员教育、技术培训以及规章制度建设有机结合起来,才能达到良好的效果。

  为了进一步促进行业信息化建设、提升行业信息安全水平,人保建议:第一,在集团化综合经营的大趋势下,希望监管部门尽快出台有关指导性意见,为保险集团信息化建设和信息安全管理模式提供行业指导。第二,尽快制定行业信息安全管理规范和标准,建立行业信息安全监控机制,营造良好的行业信息安全管理内外部环境。

  合众人寿信息部副总经理王卫东在演讲中强调,信息安全管理应该注意两个平衡:

  一是服务业务与控制风险的平衡: 既不能片面追求服务业务,忽视信息安全建设,置公司经营于巨大风险之中;也不能追求零风险,从而限制或阻碍业务发展。

二是全面规划与分级实施的平衡:在保险信息安全体系的建设过程中,既需要全面考虑、统筹规划所有技术领域的风险点,避免遗漏;又需要在控制实施的过程中考虑成本、时间因素,对风险进行分级,并逐步实施控制,不能一把抓,将所有风险同等对待。

  太保集团IT应用管理部技术经理张海斌在介绍CPIC信息安全建设情况时,谈到建设过程中需要注意的几个问题:

  第一,重建章立制,轻执行落实:不要先质疑制度的完善性,而应该先把制定的安全制度执行和落实。一个正在执行的制度,永远比书架上的完美制度要有价值。

  第二,重平台搭建,轻日常运维。外部的威胁会利用网络中安全性最薄弱的环节进行破坏,如果不重视日常的运维管理,就会留下安全死角,从而给外部威胁以可乘之机。

  第三,重项目建设,轻人员的培养和配备。任何管理制度和技术平台,都是需要人来管理和运维的,没有人或人员的技能不够,安全性同样无法保障。