資源描述:
《保險業(yè)資訊安全防護經(jīng)驗借鑒》由會員上傳分享���,免費在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫��。
1�、精品文檔保險業(yè)資訊安全防護經(jīng)驗借鑒2016年6月17日�,有人在補天漏洞平臺發(fā)布了某中資中型財產(chǎn)保險公司的一個漏洞,并附有該保險公司漏洞被侵入后的界面圖�。根據(jù)描述,該漏洞可導(dǎo)致該公司的“全部員工個人資訊及公司各種敏感資訊泄露”����。其后,某大型上市壽險公司再次被媒體曝出“省系統(tǒng)存在漏洞��,可泄漏百萬條客戶資訊”�����。《證券日報》記者查閱國內(nèi)的漏洞盒子�、補天漏洞等漏洞檢測平臺發(fā)現(xiàn),險企的網(wǎng)絡(luò)平臺存在漏洞并非個例�����,超過20家保險機構(gòu)的官網(wǎng)等平臺被漏洞檢測平臺測出各類漏洞����。2016全新精品資料-全新公文范文-全程指導(dǎo)寫作–獨家原創(chuàng)13/13精品文檔被曝出有漏洞的平臺涵蓋大、中�����、小型各類保
2����、險公司,從各保險機構(gòu)曝出的漏洞類型來看���,部分高危漏洞可暴露客戶的保單資訊����、微信支付資訊����、客戶姓名、電話����、身份證、住址��、收入���、職業(yè)等敏感資訊�,甚至是充值卡�����、資金都可以被轉(zhuǎn)移�����。這些資訊一旦泄露���,造成的危害不僅是個人隱私全無��,還會被犯罪分子利用��,例如被用于復(fù)制身份證�、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟犯罪�。臺灣地區(qū)的人壽保險商業(yè)同業(yè)公會為規(guī)范會員公司資訊業(yè)務(wù)與相關(guān)資訊資產(chǎn)的安全,發(fā)揚自律精神��,防范資訊處理作業(yè)過程發(fā)生影響資訊及系統(tǒng)機密性�、完整性及可用性的安全事件,確保各會員公司資訊處理作業(yè)能安全有效地運作�����,特制定了《壽險業(yè)辦理資訊安全防護自律規(guī)范》����,經(jīng)理監(jiān)事會決議通過報
3、主管機關(guān)備查后施行�;為確保提供壽險業(yè)具有一致性的計算機系統(tǒng)基本安全防護能力,通過各項資訊安全評估作業(yè)��,發(fā)現(xiàn)資產(chǎn)安全威脅與弱點�,藉以實施技術(shù)面與管理面相關(guān)控制措施,以改善并提升網(wǎng)絡(luò)與資訊系統(tǒng)安全防護能力���,訂定了《壽險業(yè)辦理計算機系統(tǒng)資訊安全評估作業(yè)原則》����;臺灣地區(qū)的人壽保險商業(yè)同業(yè)公會與產(chǎn)物保險商業(yè)同業(yè)公會為強化保險業(yè)的服務(wù)效能��、提供消費者便利的投保服務(wù)并保障其權(quán)益��,共同訂定了《保險業(yè)經(jīng)營行動投保業(yè)務(wù)自律規(guī)范》��,經(jīng)各公會理監(jiān)事會決議通過��,報主管機關(guān)備查后施行�。其壽險業(yè)資訊安全防護、壽險業(yè)辦理計算機系統(tǒng)資訊安全評估作業(yè)原則�����、保險業(yè)經(jīng)營行動投保業(yè)務(wù)自律規(guī)范等方面的經(jīng)驗��,值得借
4��、鑒�����。一、壽險業(yè)辦理資訊安全防護自律規(guī)范2016全新精品資料-全新公文范文-全程指導(dǎo)寫作–獨家原創(chuàng)13/13精品文檔資訊資產(chǎn)包含軟件�、硬件、環(huán)境��、文件�����、通訊��、數(shù)據(jù)����、人員等;行動裝置亦稱為移動設(shè)備�、流動裝置或手持裝置等,系指一種可攜帶的計算裝置�。典型的行動裝置如智能型手機、移動電話��、攜帶型游樂器與平板計算機�����、筆記型計算機等�����;員工攜帶自有設(shè)備上班BYOD,是指公司政策允許員工可以在公司內(nèi)使用自己的筆記本電腦����、手機、平板等行動裝置來連接到公司網(wǎng)絡(luò)取用數(shù)據(jù)��,或進行公務(wù)處理��。臺灣地區(qū)的人壽保險商業(yè)同業(yè)公會�����,要求各會員公司辦理資訊安全規(guī)范�,除依據(jù)該公司訂立的資產(chǎn)安全處理程序及其注意事
5�����、項外��,還應(yīng)依《壽險業(yè)辦理資訊安全防護自律規(guī)范》辦理����,具體要求如下:各會員公司辦理資訊安全規(guī)范�����,應(yīng)至少遵循下列規(guī)定:延攬員工時���,應(yīng)依據(jù)相關(guān)法令、合約�����、產(chǎn)業(yè)文化及業(yè)務(wù)需求���,了解該員工背景���、學(xué)歷、經(jīng)歷�����;應(yīng)要求所聘任的員工簽署資訊安全保密承諾書���、雇傭契約���、工作手冊或相當(dāng)文件����,明訂員工應(yīng)遵守資訊安全保密協(xié)議���;有委外業(yè)務(wù)者���,應(yīng)于委外契約中明訂資訊安全保密協(xié)議;應(yīng)通過定期���、適當(dāng)?shù)慕逃?xùn)練或倡導(dǎo),告知內(nèi)部員工應(yīng)遵循的資訊安全規(guī)范����;管理階層應(yīng)督導(dǎo)員工遵循公司既定的資訊安全規(guī)范;員工職務(wù)異動時���,應(yīng)依既定程序辦理資訊資產(chǎn)退回與存取權(quán)限的變更或取消���。各會員公司應(yīng)訂定使用行動裝置的相關(guān)規(guī)范,其內(nèi)
6�、容應(yīng)至少包含訂定行動裝置管理規(guī)范、行動裝置使用人員管理規(guī)范���、使用行動裝置的安全控管規(guī)范等項目���。各會員公司應(yīng)訂定使用社群媒體相關(guān)規(guī)范����,其內(nèi)容應(yīng)至少包含下列項目:訂定使用社群媒體管理與監(jiān)督機制����;若屬該公司的社群媒體者,應(yīng)揭露相關(guān)資訊�,至少包含公司名稱和主營業(yè)場所地址、通信聯(lián)絡(luò)方式等事項�����;制定申訴處理機制����。各會員公司應(yīng)訂定使用云端服務(wù)的相關(guān)規(guī)范,其內(nèi)容應(yīng)至少包含訂定云端服務(wù)安全管理規(guī)范�、訂定云端服務(wù)提供者遴選機制、訂定云端服務(wù)持續(xù)營運管理規(guī)范等項目����。2016全新精品資料-全新公文范文-全程指導(dǎo)寫作–獨家原創(chuàng)13/13精品文檔各會員公司若有建置管理系統(tǒng)及有關(guān)個人資產(chǎn)的資產(chǎn)安全數(shù)
7��、據(jù)�����,應(yīng)建立資產(chǎn)安全防御機制�����,并依據(jù)壽險業(yè)辦理計算機系統(tǒng)資訊安全評估作業(yè)原則辦理各項資訊安全評估作業(yè)�����,以改善并提升網(wǎng)絡(luò)與資訊系統(tǒng)安全防護能力���。各會員公司應(yīng)加強資訊安全事故管理��,依資訊安全事件通報應(yīng)變作業(yè)實施原則��,若發(fā)生資訊安全事件時�����,應(yīng)盡速回報公會及主管機關(guān),并采取適當(dāng)處理措施���,以控制資產(chǎn)安全事件影響范圍的擴大���。各會員公司應(yīng)將該自律規(guī)范內(nèi)容,納入內(nèi)稽內(nèi)控制度中��,并定期辦理查核���。如有違反該自律規(guī)范的情況�����,經(jīng)查證屬實者且違反情節(jié)較輕者��,先予書面糾正�����;如情節(jié)較重大者�,報經(jīng)公會理監(jiān)事會通過后���,處以新臺幣5萬元以上����、20萬元以下的罰款;前述處理情形應(yīng)
