保险信息安全风险评估指标体系规范

1、保险信息安全风险评估指标体系规范各保监局，保监会机关各部门，国有保险公司监事会，中国保险行业协会，中国保险学会，各保险公司、保险资产管理公司，全国金融标准化技术委员会保险分技术委员会：全国金融标准化技术委员会保险分技术委员会（以下简称保标委）制定了保险信息安全风险评估指标体系规范（标准编号为JR/T00582010）,并通过了审查，按照全国金融标准化技术委员会保险分技术委员会章程，现予以发布，请遵照执行。中国保险监督管理委员会二一年七月十三日保险信息系统安全问题关系保险业发展全局，也关系到社会经济的稳定。目前，在对保险机构的开业审核与常规检查中，由于保险业没有完善的信息安全标准制度体系，仅在保

2、险公司分支机构开业统计与信息化建设验收指引中有部分说明。在监管过程中，针对特定信息安全工作发布了如保险业信息系统灾难恢复管理指引等规范指引，但尚未形成体系化的要求。因此，保险行业亟需一套科学、合理的信息安全保障能力指标体系，辅助监管部门进行有效监管，引导保险机构合理建设，促进保险行业长期健康地发展。一、指标体系与保险安全监管保险监管机关充分认识到保险业信息安全监管的重要性，在对保险公司进行充分调研的基础上，提出以下新思路：通过充分调研及科学的指标选取方法选择信息安全能力指标体系的安全要素、指标，使其客观、合理；通过科学规范的指引对信息安全能力进行分级、分类，引导保险机构进行合理建设、适度保障；

3、通过设定行业关键能力指标，突出信息安全保障能力的重点；通过使用信息安全能力指标的组合，即监管基线，突出监管重点、降低在信息安全检查监管工作中的难度。二、指标体系模型框架设计根据上述思路，保险监管机关站在全行业信息安全的战略高度，制订信息安全保障能力指标体系（简称指标体系）。本文通过对国内外信息安全理论、标准和方法的研究，结合对保险行业信息系统的网络现状、业务现状、安全现状、组织机构、管理模式、人员素质、信息流转以及发展战略等相关内容的深入调研；确定适合保险业务信息安全目标和内容的准确要求，采用综合评价法构建合理、可用、完善的指标体系。指标体系确立的原则本文在设计指标体系时遵循以下基本原则：符合

4、国家有关信息与信息系统安全的法律和法规。具有导向性。指标体系应能反映保险业信息安全的客观需求以及国家、行业监管部门政策措施的落实。具有科学性。科学性原则是通过该指标体系应当能够客观全面地评测保险业信息安全保障能力的现状、发展水平及发展潜力，并可分析、评测保险机构信息安全建设过程中存在的问题，提高信息安全建设的质量，避免建设与应用过程中的盲目性和任意性，为制订有关政策和规划服务。指标体系框架设计指标体系框架设计是在遵循上述原则的基础上，参考信息系统安全保障理论模型和技术框架、信息安全管理标准ISO/IEC17799：2000、ISO/IECTR13335等系列国际标准，以及信息系统安全保障等级保

5、障要求、信息安全风险评估指南等国家标准作为指标体系的分类标准。（1）指标体系模型框架构建由于保险信息安全保障因素众多，相互关系复杂，指标体系将复杂关系分解为由局部简单关系构成的多层次结构。指标体系整体分为技术和管理两大类，规定了10个方面，各方面均由不同的要素构成。指标体系中的类、方面、要素之间存在着错综复杂的依赖制约关系。指标模型框架是一个4级的层次结构（如图1所示）。保障能力指标体系框架有如下特点：指标体系保障对象定义为“企业”，以保险机构整体为对象，构建一个相对完整的保障体系。体系设计上体现管理和技术并重。强调从技术到管理去寻求某种统一的体系，寻求整体的信息安全保障，是一种体系化、结构化

6、的思想，具有可操作性。技术指标包含5个方面，分别为物理安全、网络安全、主机安全、应用安全和数据安全。管理指标包含5个方面，分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。每个方面包含多个安全要素。安全要素是指为实现信息安全保障能力所规定的安全要求，信息安全保障能力要求则归类到各个安全要素之中。安全保障能力依赖不同能力级别中的安全保护指标要求来实现。（2）指标体系的分级原则信息安全保障是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护，加强对信息安全事件和各种脆弱性的检测，提高应急反应和系统恢复能

7、力。保险业信息安全保障能力从以下4个维度设计分级标准：抵御威胁的能力、发现安全事件的能力、遭受损害后的恢复能力和体系化的整体防护能力。从4个不同维度的具体差别定义了指标体系的9个安全保障能力等级。保险业信息安全保障能力级别分类体现渐进原则，依据行业规模、信息安全投入来度量各保险公司的能力；不同组织根据不同能力级别的要求，制订合理的、满意的安全规划；监管机构引导各保险公司逐渐增加投入，逐步提高信息安全保障能力。保险业信息安全保障指标体系有技术和管理两大类，10个方面，共74个安全要素，按能力级别分为9级：第1至3级定义为第一档，是对重要的安全功能点进行要求，体现为相对零散的重要的具体要求。第4至

8、6级定位为第二档，是对构成该安全要素的重要的安全内容（面）提出制度化和流程化的要求。第7至9级定位为第三档，是对构成该安全要素的大部分安全内容有成体系的要求，并且在重要方面能够持续改进。同一档下更高级别主要差别是如果被攻击后恢复到正常保障状态的能力，从深度和广度对基础级别逐步加强。深度是对基础级别提出的指标进行加深，即提出对应基础级别指标更详细和要求更高的指标。广度是对基础级别提出的指标进行扩展，即提出更多的指标，这些指标用于保障基础级别指标的有效实现。指标选取指标选取是构建指标体系的基础性工作。由于保险行业信息安全能力的定义存在诸多不确定因素、难以进行定量分析的情况。因此，采用专家调研法来选

9、取指标。通过匿名方式征询有关专家的意见，对行统计、处理、分析和归纳，客观地综合多数专家经验与主观判断大量非技术的无法定量分析的因素做出合理估算，经多次反复进行内容进行确定的方法。指标的选取依据以下原则。（1）具有全面性和综合性选取的指标必须反映保险业信息安全保障能力对象的复杂性，且具有一定的综合性，指标之间要有较强的逻辑关联。（2）具有良好的可操作性选取的指标的含义明确，便于实施。应充分考虑所用指标的可用性，在采集过程中的可获得性。（3）具有可延续性在选择反映现实的能力安全水平指标外，还应选择能反映未来发展趋势的指标。以保证指标体系不仅在时间上可延续，而且在内容上还可拓展。信息系统安全保障能力

10、指标进一步细分为关键能力指标和一般能力指标。关键能力指标为达成特定安全保障能力级别的判别性指标，一般能力指标为达成该安全保障能力级别的辅助性指标。关键能力指标的满足度决定了信息系统所能达到的安全保障能力级别。一般能力指标的满足度会影响该安全保障能力级别下能力高低的评定（表1为指标体系构成样表）。三、指标体系应用1.监管检查基线基线测评是根据监管要求设定的基线，通过使用对应的信息安全能力保障测评规范指引，对保险机构进行安全评估。基线测评的目标是帮助保险监管机关建立一套满足信息安全基本目标的最小对策集合，可在全行业范围内实行。如果有特殊需要，可在此基础上，对特定系统进行更详细的分解要求。基线测评强

11、调以保险机构为测评目标，针对某一个安全基线进行测评及机构自我检查，并可根据持续的PDCA过程提升安全管理水平。基线测评的优点是需要的资源少，周期短，操作简单，对于环境相似且安全需求相当的保险机构，基线测评显然是最经济有效的测评途径。当然，基线测评也有其难以避免的缺点，比如基线水平的高低难以设定，如果过高，可能导致资源浪费和限制过度；如果过低，可能难以达到充分的安全。图2指出基线的构成，监管机关为每个安全保障能力要素选择应达到的级别。2.应用举例应用指标体系结合基线的评测方法，保险监管机关通过利用指标类型判断指标在测评中的权重。对应指标体系形成行测评规范指引，该指引定义了指标测评项。测评项根据其

12、安全保障能力又分为关键测评项与非关键测评项。关键指标的关键检查项得分为A分，其他得分为B分。例如：某次安全管理专项检查，检查安全管理制度，安全管理机构和人员安全3个方面，形成一个行业监管基线。其中重点检查安全管理机构，且主要检查岗位设置和人员配备情况。分数设定步骤如下。（1）首先为3个方面设定评分权重，例如安全管理制度25%，安全管理机构50%，人员安全25%。（2）其次为3个方面所含的安全要素设定权重，例如安全管理制度的安全要素共4个，权重一致，均为25%；安全管理机构“岗位设置”及“人员配备”权重均为26%，其余3个要素均为16%；人员安全的安全要素共5个，权重一致，均为20%。（3）分数计算：测评工具将根据人工设定的权重自动计算出每个指标的分值，包括A分和B分，根据检查结果，将每个指标的A分及B分汇总，即计算出总的A分和B分。保险监管机关在实际安全保障能力指标应用中，可以通过基线设定锁定安全监管重点，通过AB评分机制判