資源描述:
《信息安全保險(xiǎn)論文范文-淺析保險(xiǎn)業(yè)信息安全風(fēng)險(xiǎn)管理word版下載》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1、信息安全保險(xiǎn)論文范文:淺析保險(xiǎn)業(yè)信息安全風(fēng)險(xiǎn)管理word版下載保險(xiǎn)業(yè)信息安全風(fēng)險(xiǎn)管理論文導(dǎo)讀:本論文是一篇關(guān)于保險(xiǎn)業(yè)信息安全風(fēng)險(xiǎn)管理的優(yōu)秀論文范文���,對(duì)正在寫(xiě)有關(guān)于信息安全論文的寫(xiě)作者有一定的參考和指導(dǎo)作用����,論文片段:摘要:面對(duì)當(dāng)前日益嚴(yán)峻的信息系統(tǒng)的信息安全需求�����,單靠技術(shù)手段是很難解決的���,信息系統(tǒng)的信息安全理由更應(yīng)從風(fēng)險(xiǎn)管理的角度來(lái)看待���。遵照權(quán)威的信息安全相關(guān)標(biāo)準(zhǔn),采用科學(xué)有效的策略進(jìn)行全面的信息安全風(fēng)險(xiǎn)評(píng)估�����,依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?��,以妥善?yīng)對(duì)可能面對(duì)的威脅和可能發(fā)生的風(fēng)險(xiǎn)��。關(guān)鍵詞:信息安全�����;風(fēng)險(xiǎn)評(píng)估��;效用評(píng)
2�、估對(duì)于保險(xiǎn)企業(yè)來(lái)說(shuō)�����,客戶(hù)信息等同于“貨幣”O(jiān)對(duì)于投保人而言��,買(mǎi)保險(xiǎn)本身就是為了規(guī)避風(fēng)險(xiǎn)���,而如果因?yàn)楸kU(xiǎn)公司信息不安全,造成投保人風(fēng)險(xiǎn)的擴(kuò)大���,勢(shì)必會(huì)影響投保人的投保意愿�,同時(shí)也將影響到保險(xiǎn)公司的信譽(yù)和可靠度���,這必將極大地制約保險(xiǎn)公司的發(fā)展�。因而研究保險(xiǎn)行業(yè)信息安全風(fēng)險(xiǎn)管理有很強(qiáng)的理論作用和現(xiàn)實(shí)作用����。一、目前狀況分析目前保險(xiǎn)行業(yè)信息安全風(fēng)險(xiǎn)管理主要存在以下理由:(一)人員設(shè)備資金等投入不足全行業(yè)特別是各保險(xiǎn)公司的高層人員對(duì)新時(shí)期的保險(xiǎn)信息安全的認(rèn)識(shí)不充分���,重視程度不高����,很多保險(xiǎn)公司缺乏完善的信息安全規(guī)劃�,對(duì)信息安全的投入嚴(yán)重不足,導(dǎo)致
3�����、安全防護(hù)措施和應(yīng)急災(zāi)難備份和恢復(fù)設(shè)施嚴(yán)重滯后于信息系統(tǒng)的開(kāi)發(fā)建設(shè)���,同時(shí)�,人員投入不足,技術(shù)儲(chǔ)備和信息安全事件研判能力十分有限����。保險(xiǎn)業(yè)信息安全的抗攻擊��、防滲透能力較弱����,很難抵御有組織,有預(yù)謀的技術(shù)攻擊��。(二)缺乏完善的系統(tǒng)機(jī)制俗話(huà)說(shuō)“三分技術(shù)�����,七分管理”���,但目前很多管理者只重視風(fēng)險(xiǎn)制約的技術(shù)理由����。通過(guò)最近幾年安全事件的調(diào)查研究����,發(fā)現(xiàn)很多企業(yè)大都采用“滅火式”的處理方式����,只是就事論事的解決出現(xiàn)的風(fēng)險(xiǎn)事件�,而沒(méi)有從流程、技術(shù)����、人員三個(gè)層次進(jìn)行信息安全管理的協(xié)調(diào)重視,沒(méi)有制定一套可操作性強(qiáng)的��、有效的應(yīng)急措施��。(三)監(jiān)管制度不完善信息安全等
4�、級(jí)保護(hù)是行業(yè)監(jiān)管的基本指引。2007年底����,保險(xiǎn)行業(yè)信息系統(tǒng)定級(jí)工作基本完成,等級(jí)保護(hù)工作在保險(xiǎn)行業(yè)持續(xù)展開(kāi)�。但是等級(jí)保護(hù)本身仍舊存在很多理由。(1)等級(jí)保護(hù)沒(méi)有關(guān)注企業(yè)能力差別���。大多數(shù)保險(xiǎn)機(jī)構(gòu)都被定在第一二級(jí)�,沒(méi)有很好的區(qū)分強(qiáng)弱企業(yè)�����。(2)等級(jí)保護(hù)的評(píng)估數(shù)據(jù)存在盲信息。比如���,相關(guān)人員通過(guò)問(wèn)卷調(diào)查來(lái)采集評(píng)估數(shù)據(jù)��,被訪(fǎng)談人員在填寫(xiě)調(diào)查問(wèn)卷時(shí)會(huì)出現(xiàn)“報(bào)喜不報(bào)憂(yōu)”的情況�,這就在評(píng)估數(shù)據(jù)中引入了“肓信息”�。另外����,由于評(píng)估專(zhuān)家自身經(jīng)驗(yàn)、情緒����、心情等因素的影響,等級(jí)劃分和量化評(píng)估得分結(jié)果容易失去客觀(guān)性��,造成評(píng)估過(guò)程出現(xiàn)盲信息����。二、改善措施和意見(jiàn)
5���、針對(duì)于保險(xiǎn)行業(yè)信息安全目前狀況的不足之處��,可以從四個(gè)方面提出改善措施��。①加強(qiáng)管理者信息安全教育�����,提高管理考風(fēng)險(xiǎn)管理意識(shí)���,明晰信息安全建設(shè)對(duì)企業(yè)發(fā)展的重要作用����。②完善專(zhuān)家信息庫(kù)和知識(shí)庫(kù)��,培養(yǎng)有風(fēng)險(xiǎn)管理經(jīng)驗(yàn)的高素質(zhì)人才�����,建立信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)���。③加強(qiáng)保險(xiǎn)行業(yè)間�、保險(xiǎn)業(yè)與IT行業(yè)跨行業(yè)合作����,共同建立安全保障策略�,④加強(qiáng)制度建設(shè)��,完善信息安全監(jiān)管����,從根源上杜絕信息安全漏洞的產(chǎn)主。本文主要就以下兩點(diǎn)做出詳細(xì)說(shuō)明�。(一)建立公司的風(fēng)險(xiǎn)管理體系信息安全風(fēng)險(xiǎn)管理應(yīng)該是一個(gè)具有自我反饋和自我調(diào)節(jié)的反饋制約系統(tǒng),主要包括以下四個(gè)環(huán)節(jié):風(fēng)險(xiǎn)評(píng)估���、風(fēng)險(xiǎn)
6、制約�����、運(yùn)轉(zhuǎn)監(jiān)控�、應(yīng)急恢復(fù)。1.風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)管理的重點(diǎn)和難點(diǎn)是進(jìn)行合適恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估��。風(fēng)險(xiǎn)評(píng)估主要包括以下步驟:(1)資產(chǎn)評(píng)估�。明確信息資產(chǎn)評(píng)估范圍,并對(duì)資產(chǎn)進(jìn)行分類(lèi)�,定量資產(chǎn)價(jià)值評(píng)估���。利用CIA公式進(jìn)行計(jì)算:,(Q+0+丫二1)其中,s表示資產(chǎn)安全價(jià)值�,C表示保密性賦值,I表示完整性賦值���,A表示可用性賦值��。QBY分別為保密性�����、完整性�、可用性權(quán)重����。(2)威脅和脆弱性評(píng)估。列出詳細(xì)的威脅因素和可能被利用的薄弱環(huán)節(jié)�����,以及二者可以導(dǎo)致的威脅�����、威脅會(huì)影響的資產(chǎn)或資產(chǎn)群、造成對(duì)資產(chǎn)和業(yè)務(wù)的損害以及對(duì)威脅發(fā)生的可能性進(jìn)行的判定��。(3)識(shí)
7����、別現(xiàn)有措施。檢查現(xiàn)有措施是否適用���,是否能發(fā)揮應(yīng)有的作用���,同時(shí),應(yīng)該評(píng)估現(xiàn)有措施是否能夠滿(mǎn)足資產(chǎn)���、威脅和脆弱性評(píng)估出的風(fēng)險(xiǎn)需求�����,以避開(kāi)重復(fù)實(shí)施制約措施。(4)利用VaR模型估計(jì)風(fēng)險(xiǎn)損失值���。選擇ClaytonCopula函數(shù)來(lái)描述威脅性與脆弱性變量之間的關(guān)系,其中參數(shù)可通過(guò)Kendal1秩相關(guān)系數(shù)得到:假設(shè)A表示信息資產(chǎn)價(jià)值�;x表示信息資產(chǎn)脆弱損失率����;y表示信息資產(chǎn)威脅損失率�。依據(jù)VaR理論和Copula模型��,設(shè)定信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)模型為:其中�,分別代表脆弱性、威脅性的權(quán)重����,是置信水平下的風(fēng)險(xiǎn)損失值。1.風(fēng)險(xiǎn)策略和安全措施根據(jù)風(fēng)險(xiǎn)評(píng)估階
8���、段中得到的資產(chǎn)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果���,確定風(fēng)險(xiǎn)管理策略是采用自留、規(guī)避��、轉(zhuǎn)移還是接受風(fēng)險(xiǎn)�,并對(duì)不可接受的風(fēng)險(xiǎn)采取相應(yīng)的安全措施。制定合乎公司目前發(fā)展?fàn)顩r的風(fēng)險(xiǎn)制約政策���,確定詳細(xì)的風(fēng)險(xiǎn)制約計(jì)劃��,完善風(fēng)險(xiǎn)制約審批制度�����,切實(shí)實(shí)施風(fēng)險(xiǎn)制約措施�����。2.運(yùn)轉(zhuǎn)監(jiān)控此階段主要
