保險業(yè)信息安全仍是監(jiān)管重點(diǎn)

申請免費(fèi)試用、咨詢電話：400-8352-114

由保監(jiān)會統(tǒng)計信息部主辦、人保集團(tuán)承辦，首屆中國保險業(yè)信息化高峰論壇日前在杭州市召開。來自人民銀行、國家信息測評中心、國家信息化專家咨詢委員會以及保險業(yè)內(nèi)會議代表共80多人參加了論壇。

本次論壇的主題是“信息安全與風(fēng)險管理”。保監(jiān)會副主席李克穆在致辭中指出，舉辦這次論壇旨在加強(qiáng)保險業(yè)信息化交流，推進(jìn)全行業(yè)信息化建設(shè)，防范保險業(yè)的信息安全風(fēng)險，論壇具有十分重要的意義。信息安全無小事，金融保險業(yè)是我國經(jīng)濟(jì)發(fā)展的命脈，是國家級重要信息系統(tǒng)，信息化已經(jīng)深入到保險業(yè)務(wù)的每一個環(huán)節(jié)，保險業(yè)的信息安全工作非常重要，如何有效地識別和控制各類信息技術(shù)風(fēng)險成為擺在我們面前的重要課題。

李克穆指出，信息化是當(dāng)今世界保險及其他金融領(lǐng)域發(fā)展的重要趨勢，是保險業(yè)又好又快發(fā)展的重要動力?；仡欉^去，我們的信息化建設(shè)取得了長足進(jìn)步，信息化水平已經(jīng)成為衡量一個保險企業(yè)核心競爭力的重要標(biāo)志。中國保監(jiān)會十分重視保險業(yè)的信息化建設(shè)工作，近年來為促進(jìn)全行業(yè)的信息化發(fā)展做了大量的工作，通過制定行業(yè)規(guī)劃、出臺規(guī)章制度、開展標(biāo)準(zhǔn)化建設(shè)、鼓勵科技創(chuàng)新和推動行業(yè)交流等一系列舉措，不斷改善保險業(yè)信息化發(fā)展基礎(chǔ)環(huán)境，推動行業(yè)信息化工作健康發(fā)展。同時，保監(jiān)會也在致力于推進(jìn)監(jiān)管信息化，通過信息化提高保險監(jiān)管工作的水平和效率，帶動全行業(yè)信息化水平的提升。

李克穆表示，從客觀的角度來看，當(dāng)前我國的保險業(yè)信息化還處在發(fā)展的初級階段，其現(xiàn)狀與我們發(fā)展保險業(yè)的要求仍不相適應(yīng)。主要表現(xiàn)在：一是重視程度不足。一些公司沒有認(rèn)識到信息化所能發(fā)揮的重要作用，仍然把它放在一個輔助和從屬的位置。二是應(yīng)用深度不夠。部分公司雖然在戰(zhàn)略上十分重視信息化，但并沒有轉(zhuǎn)化為具體應(yīng)用中的生產(chǎn)力，仍然停留在口頭上和規(guī)劃中。三是信息化工作開展還不夠系統(tǒng)。很多公司雖然開展了一些應(yīng)用，但不成體系，投入和產(chǎn)出不成比例，存在著信息孤島、重復(fù)建設(shè)、低效建設(shè)等諸多問題，沒有最大限度地發(fā)揮信息技術(shù)的實效。四是在信息化工作中重應(yīng)用、輕安全，很多公司只顧埋頭建設(shè)，忽視信息安全，為保險公司的持續(xù)發(fā)展和穩(wěn)健經(jīng)營留下了隱患。

雖然近年來，保險業(yè)的信息安全保障工作在制度建設(shè)、安全建設(shè)和應(yīng)急管理等諸多方面都取得較大進(jìn)展，整個保險信息系統(tǒng)保持了良好的運(yùn)行狀況。然而，我們也要看到當(dāng)前面臨的信息安全風(fēng)險還很嚴(yán)峻，保險業(yè)的信息安全工作失誤不得、馬虎不得。今后，中國保監(jiān)會將繼續(xù)把信息安全工作作為對保險公司監(jiān)管的重點(diǎn)，推動各保險公司進(jìn)一步提高認(rèn)識，加大信息安全投入力度，做好災(zāi)難備份與恢復(fù)工作，加強(qiáng)信息安全事件的研判和應(yīng)急處置能力，完善信息安全保障體系。

與會代表通過論壇達(dá)成共識：一、信息安全非常重要，保險業(yè)在信息安全建設(shè)方面雖然成績顯著，但面臨的形勢不容樂觀。二、信息安全不僅僅是IT部門的事，應(yīng)該引起公司的高度重視。三、推行信息安全管理國際標(biāo)準(zhǔn)認(rèn)證，對行業(yè)發(fā)展也是一個很好的契機(jī)。四、信息安全硬環(huán)境建設(shè)重要，軟環(huán)境建設(shè)更重要，需要從企業(yè)戰(zhàn)略發(fā)展、企業(yè)文化建設(shè)等方面進(jìn)行全面部署，同時也需要全行業(yè)的共同努力。

平安集團(tuán)副總經(jīng)理兼首席信息執(zhí)行官羅士禮在主題演講中提出一個觀點(diǎn)：安全不是必然的，意料之外的事是會發(fā)生的。因此，安全是要計劃、構(gòu)建、執(zhí)行，及不斷復(fù)查、更新的。信息安全不是在一天就可以建立起來的，業(yè)務(wù)持續(xù)性方案也是必要的。

他認(rèn)為，強(qiáng)調(diào)人員的安全意識、業(yè)務(wù)流程控制在信息安全規(guī)劃中不可分離的原則。他說，信息安全工作不局限于IT，業(yè)務(wù)人員的落實執(zhí)行同樣重要。人永遠(yuǎn)是信息安全中最弱的一環(huán)。執(zhí)行信息安全的工作，人人有責(zé) 。

人保集團(tuán)信息技術(shù)部總經(jīng)理封建強(qiáng)在主題演講中介紹，人保在推進(jìn)信息安全建設(shè)的過程中認(rèn)識到，先進(jìn)的技術(shù)和設(shè)備是重要的，但不是萬能的?！叭旨夹g(shù)、七分管理”，關(guān)鍵是要把安全技術(shù)與運(yùn)行管理機(jī)制、人員教育、技術(shù)培訓(xùn)以及規(guī)章制度建設(shè)有機(jī)結(jié)合起來，才能達(dá)到良好的效果。

為了進(jìn)一步促進(jìn)行業(yè)信息化建設(shè)、提升行業(yè)信息安全水平，人保建議：第一，在集團(tuán)化綜合經(jīng)營的大趨勢下，希望監(jiān)管部門盡快出臺有關(guān)指導(dǎo)性意見，為保險集團(tuán)信息化建設(shè)和信息安全管理模式提供行業(yè)指導(dǎo)。第二，盡快制定行業(yè)信息安全管理規(guī)范和標(biāo)準(zhǔn)，建立行業(yè)信息安全監(jiān)控機(jī)制，營造良好的行業(yè)信息安全管理內(nèi)外部環(huán)境。

合眾人壽信息部副總經(jīng)理王衛(wèi)東在演講中強(qiáng)調(diào)，信息安全管理應(yīng)該注意兩個平衡：

一是服務(wù)業(yè)務(wù)與控制風(fēng)險的平衡： 既不能片面追求服務(wù)業(yè)務(wù)，忽視信息安全建設(shè)，置公司經(jīng)營于巨大風(fēng)險之中；也不能追求零風(fēng)險，從而限制或阻礙業(yè)務(wù)發(fā)展。

二是全面規(guī)劃與分級實施的平衡：在保險信息安全體系的建設(shè)過程中，既需要全面考慮、統(tǒng)籌規(guī)劃所有技術(shù)領(lǐng)域的風(fēng)險點(diǎn)，避免遺漏；又需要在控制實施的過程中考慮成本、時間因素，對風(fēng)險進(jìn)行分級，并逐步實施控制，不能一把抓，將所有風(fēng)險同等對待。

太保集團(tuán)IT應(yīng)用管理部技術(shù)經(jīng)理張海斌在介紹CPIC信息安全建設(shè)情況時，談到建設(shè)過程中需要注意的幾個問題：

第一，重建章立制，輕執(zhí)行落實：不要先質(zhì)疑制度的完善性，而應(yīng)該先把制定的安全制度執(zhí)行和落實。一個正在執(zhí)行的制度，永遠(yuǎn)比書架上的完美制度要有價值。

第二，重平臺搭建，輕日常運(yùn)維。外部的威脅會利用網(wǎng)絡(luò)中安全性最薄弱的環(huán)節(jié)進(jìn)行破壞，如果不重視日常的運(yùn)維管理，就會留下安全死角，從而給外部威脅以可乘之機(jī)。

第三，重項目建設(shè)，輕人員的培養(yǎng)和配備。任何管理制度和技術(shù)平臺，都是需要人來管理和運(yùn)維的，沒有人或人員的技能不夠，安全性同樣無法保障。