保險業(yè)信息安全仍是監(jiān)管重點

申請免費試用、咨詢電話：400-8352-114

由保監(jiān)會統(tǒng)計信息部主辦、人保集團承辦，首屆中國保險業(yè)信息化高峰論壇日前在杭州市召開。來自人民銀行、國家信息測評中心、國家信息化專家咨詢委員會以及保險業(yè)內(nèi)會議代表共80多人參加了論壇。

本次論壇的主題是“信息安全與風險管理”。保監(jiān)會副主席李克穆在致辭中指出，舉辦這次論壇旨在加強保險業(yè)信息化交流，推進全行業(yè)信息化建設，防范保險業(yè)的信息安全風險，論壇具有十分重要的意義。信息安全無小事，金融保險業(yè)是我國經(jīng)濟發(fā)展的命脈，是國家級重要信息系統(tǒng)，信息化已經(jīng)深入到保險業(yè)務的每一個環(huán)節(jié)，保險業(yè)的信息安全工作非常重要，如何有效地識別和控制各類信息技術風險成為擺在我們面前的重要課題。

李克穆指出，信息化是當今世界保險及其他金融領域發(fā)展的重要趨勢，是保險業(yè)又好又快發(fā)展的重要動力?；仡欉^去，我們的信息化建設取得了長足進步，信息化水平已經(jīng)成為衡量一個保險企業(yè)核心競爭力的重要標志。中國保監(jiān)會十分重視保險業(yè)的信息化建設工作，近年來為促進全行業(yè)的信息化發(fā)展做了大量的工作，通過制定行業(yè)規(guī)劃、出臺規(guī)章制度、開展標準化建設、鼓勵科技創(chuàng)新和推動行業(yè)交流等一系列舉措，不斷改善保險業(yè)信息化發(fā)展基礎環(huán)境，推動行業(yè)信息化工作健康發(fā)展。同時，保監(jiān)會也在致力于推進監(jiān)管信息化，通過信息化提高保險監(jiān)管工作的水平和效率，帶動全行業(yè)信息化水平的提升。

李克穆表示，從客觀的角度來看，當前我國的保險業(yè)信息化還處在發(fā)展的初級階段，其現(xiàn)狀與我們發(fā)展保險業(yè)的要求仍不相適應。主要表現(xiàn)在：一是重視程度不足。一些公司沒有認識到信息化所能發(fā)揮的重要作用，仍然把它放在一個輔助和從屬的位置。二是應用深度不夠。部分公司雖然在戰(zhàn)略上十分重視信息化，但并沒有轉(zhuǎn)化為具體應用中的生產(chǎn)力，仍然停留在口頭上和規(guī)劃中。三是信息化工作開展還不夠系統(tǒng)。很多公司雖然開展了一些應用，但不成體系，投入和產(chǎn)出不成比例，存在著信息孤島、重復建設、低效建設等諸多問題，沒有最大限度地發(fā)揮信息技術的實效。四是在信息化工作中重應用、輕安全，很多公司只顧埋頭建設，忽視信息安全，為保險公司的持續(xù)發(fā)展和穩(wěn)健經(jīng)營留下了隱患。

雖然近年來，保險業(yè)的信息安全保障工作在制度建設、安全建設和應急管理等諸多方面都取得較大進展，整個保險信息系統(tǒng)保持了良好的運行狀況。然而，我們也要看到當前面臨的信息安全風險還很嚴峻，保險業(yè)的信息安全工作失誤不得、馬虎不得。今后，中國保監(jiān)會將繼續(xù)把信息安全工作作為對保險公司監(jiān)管的重點，推動各保險公司進一步提高認識，加大信息安全投入力度，做好災難備份與恢復工作，加強信息安全事件的研判和應急處置能力，完善信息安全保障體系。

與會代表通過論壇達成共識：一、信息安全非常重要，保險業(yè)在信息安全建設方面雖然成績顯著，但面臨的形勢不容樂觀。二、信息安全不僅僅是IT部門的事，應該引起公司的高度重視。三、推行信息安全管理國際標準認證，對行業(yè)發(fā)展也是一個很好的契機。四、信息安全硬環(huán)境建設重要，軟環(huán)境建設更重要，需要從企業(yè)戰(zhàn)略發(fā)展、企業(yè)文化建設等方面進行全面部署，同時也需要全行業(yè)的共同努力。

平安集團副總經(jīng)理兼首席信息執(zhí)行官羅士禮在主題演講中提出一個觀點：安全不是必然的，意料之外的事是會發(fā)生的。因此，安全是要計劃、構建、執(zhí)行，及不斷復查、更新的。信息安全不是在一天就可以建立起來的，業(yè)務持續(xù)性方案也是必要的。

他認為，強調(diào)人員的安全意識、業(yè)務流程控制在信息安全規(guī)劃中不可分離的原則。他說，信息安全工作不局限于IT，業(yè)務人員的落實執(zhí)行同樣重要。人永遠是信息安全中最弱的一環(huán)。執(zhí)行信息安全的工作，人人有責 。

人保集團信息技術部總經(jīng)理封建強在主題演講中介紹，人保在推進信息安全建設的過程中認識到，先進的技術和設備是重要的，但不是萬能的?！叭旨夹g、七分管理”，關鍵是要把安全技術與運行管理機制、人員教育、技術培訓以及規(guī)章制度建設有機結(jié)合起來，才能達到良好的效果。

為了進一步促進行業(yè)信息化建設、提升行業(yè)信息安全水平，人保建議：第一，在集團化綜合經(jīng)營的大趨勢下，希望監(jiān)管部門盡快出臺有關指導性意見，為保險集團信息化建設和信息安全管理模式提供行業(yè)指導。第二，盡快制定行業(yè)信息安全管理規(guī)范和標準，建立行業(yè)信息安全監(jiān)控機制，營造良好的行業(yè)信息安全管理內(nèi)外部環(huán)境。

合眾人壽信息部副總經(jīng)理王衛(wèi)東在演講中強調(diào)，信息安全管理應該注意兩個平衡：

一是服務業(yè)務與控制風險的平衡： 既不能片面追求服務業(yè)務，忽視信息安全建設，置公司經(jīng)營于巨大風險之中；也不能追求零風險，從而限制或阻礙業(yè)務發(fā)展。

二是全面規(guī)劃與分級實施的平衡：在保險信息安全體系的建設過程中，既需要全面考慮、統(tǒng)籌規(guī)劃所有技術領域的風險點，避免遺漏；又需要在控制實施的過程中考慮成本、時間因素，對風險進行分級，并逐步實施控制，不能一把抓，將所有風險同等對待。

太保集團IT應用管理部技術經(jīng)理張海斌在介紹CPIC信息安全建設情況時，談到建設過程中需要注意的幾個問題：

第一，重建章立制，輕執(zhí)行落實：不要先質(zhì)疑制度的完善性，而應該先把制定的安全制度執(zhí)行和落實。一個正在執(zhí)行的制度，永遠比書架上的完美制度要有價值。

第二，重平臺搭建，輕日常運維。外部的威脅會利用網(wǎng)絡中安全性最薄弱的環(huán)節(jié)進行破壞，如果不重視日常的運維管理，就會留下安全死角，從而給外部威脅以可乘之機。

第三，重項目建設，輕人員的培養(yǎng)和配備。任何管理制度和技術平臺，都是需要人來管理和運維的，沒有人或人員的技能不夠，安全性同樣無法保障。