安全专场：安全&安心：安心保险合规建设之路.pdfVIP

安全&安心：安心保险合规建设分享 安心保险--全国首批互联网创新型保险公司 演讲者 安心技术保障部总经理 王运海 目录 • 保险行业安全现状分析 • 安心等保测评实施背景 • 安心等保测评的目标 • 安心等保测评定级的重要内容 • 安心保险安全体系规划 保险行业安全环境现状分析  金融保险系统的漏洞威胁更加复杂 金融行业离钱财最近，因此金融行业网站漏洞受到黑客的 关注也最多。据补天平台统计，2017年金融行业网站漏洞 数量和高危漏洞数量都处于各行业前列,前11个月金融网站 的漏洞曝出数量(超过1700个)、高危漏洞的数量(约700 个) ，皆领先于教育培训、汽车交通、医疗卫生等行业。  金融行业曝出安全问题，保险领域最为严重 据补天平台收录的漏洞数据，白帽子报告出保险领域260多 个漏洞，银行领域130多个漏洞，证券行业70个漏洞,P2P 理财服务类网站也报告出180多个漏洞。  支付漏洞影响资金安全 多家第三方支付企业曝出若干漏洞，一旦遭利用，将会影 响平台用户的资金流动安全。相关数据显示，移动支付、 资费消耗和隐私窃取是手机病毒排行前列的三大危害，其 中移动支付类病毒占比68% ，随着移动支付越来越普遍， 个人账户面临的风险可能会进一步加大。 安心等保测评实施背景  《网络安全法》的正式颁布施行 随着《网络安全法》的正式颁布施行，网络安全尤其是金融、保险等关系到国计民生的关 键信息基础设施安全已成为国家安全的重要体现  行业角度横向状态 各友商体量大、起步早，在信息安全建设尤其是等级保护合规建设上投入很大。人保、人 寿、阳光、平安等作为保险行业的排头兵，不仅全面响应国家要求，而且积极参加标准制 定、政策指导等工作  安心保险处在快速发展期 IT设施、应用系统的一些安全因素如果在设计实现的时候缺乏考虑，后期承载业务后难以 补救 安心实施等保测评的目标  现有系统安全合规整改 依据有关信息系统安全等级保护工作的部署要求，开展信息系统安全等级保护测评工作， 对安心保险的信息系统进行差距测评，对照等级保护基本要求的标准查找差距，并针对存 在的安全隐患以及未落实的安全措施，制订信息系统整体信息安全防护方案，开展安全整 改的实施工作，最终提高安心保险信息系统的安全保障能力。  新系统建设要求 通过对现有系统的安全测评、整改，后续新系统建设时，按三级系统的要求，进行系统建 设，保证新老系统均满足等保三级要求。 安心等保测评重要内容  信息系统定级工作 确定信息系统的个数、每个信息系统的等保级 别  信息系统备案工作 向属地公安机关网监部门提交 《系统定级报 告》及 《系统基础信息调研表》 ，获取备案证 明  信息系统等级保护测评工作 依据确定的等级标准，确定等保测评机构，对 目标系统开展等保测评工作  信息系统安全整改工作 完成测评工作后，将 《信息系统等级保护测评 报告》提交网监部门备案，针对报告中的待整 改项，完成整改工作。  成立专项小组，任命项目经理，及时召开信息系统安全等级保护定级相关会议；  提请各相关部门重视、协调内部资源，做好等保测评计划安排；  组织开展政策和技术培训，掌握定级工作规范和技术要求 ；  根据被测系统的业务运行高峰期、网络情况等，适时安排测评时间；  全面跟进定级保护工作的进展情况和存在的问题，对存在的问题及时协调解决。  开展信息系统基本情况的摸底调查 组织各部门各科室开展对所属信息系统的摸底调查，全面掌握信息系统的数量、分布、业 务类型、应用或服务范围、系统结构等基本情况，按照《信息安全等级保护管理办法》和 《信息系统安全等级保护定级指南》的要求，确定定级对象。  确认定级对象为安心保险核心业务平台系统 安心保险核心业务平台系统包括安心互联网保险官网系统、安心互联网保险微信系统等。 该平台系统集投保、理赔于一体，包括了车险、非车险、健康险、理赔、承保等众多子系 统 ，构成安心保险核心业务平台系统。  按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》，确定定级 对象的安全保护等级为三级，起草定级报告。  评审。召开专家委员会进行系统安全等级保护评审组进行评审。  备案。根据《信息安全等级保护管理办法》，信息系统安全保护等级为第三级，积极联 系延庆公安局，准备并提交定级备案材料。  各部门认真按照评级要求，组织