美章网 资料文库 保险业资讯安全防护经验借鉴范文

保险业资讯安全防护经验借鉴范文

本站小编为你精心准备了保险业资讯安全防护经验借鉴参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

保险业资讯安全防护经验借鉴

2015年6月17日,有人在补天漏洞平台了某中资中型财产保险公司的一个漏洞,并附有该保险公司漏洞被侵入后的界面图。根据描述,该漏洞可导致该公司的“全部员工个人资讯及公司各种敏感资讯泄露”。其后,某大型上市寿险公司再次被媒体曝出“省系统存在漏洞,可泄漏百万条客户资讯”。《证券日报》记者查阅国内的漏洞盒子、补天漏洞等漏洞检测平台发现,险企的网络平台存在漏洞并非个例,超过20家保险机构的官网等平台被漏洞检测平台测出各类漏洞。

被曝出有漏洞的平台涵盖大、中、小型各类保险公司,从各保险机构曝出的漏洞类型来看,部分高危漏洞可暴露客户的保单资讯、微信支付资讯、客户姓名、电话、身份证、住址、收入、职业等敏感资讯,甚至是充值卡、资金都可以被转移。这些资讯一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如被用于复制身份证、盗办信用卡、盗刷信用卡等一系列刑事或经济犯罪。台湾地区的人寿保险商业同业公会为规范会员公司资讯业务与相关资讯资产的安全,发扬自律精神,防范资讯处理作业过程发生影响资讯及系统机密性、完整性及可用性的安全事件,确保各会员公司资讯处理作业能安全有效地运作,特制定了《寿险业办理资讯安全防护自律规范》,经理监事会决议通过报主管机关备查后施行;为确保提供寿险业具有一致性的计算机系统基本安全防护能力,通过各项资讯安全评估作业,发现资产安全威胁与弱点,藉以实施技术面与管理面相关控制措施,以改善并提升网络与资讯系统安全防护能力,订定了《寿险业办理计算机系统资讯安全评估作业原则》;台湾地区的人寿保险商业同业公会与产物保险商业同业公会为强化保险业的服务效能、提供消费者便利的投保服务并保障其权益,共同订定了《保险业经营行动投保业务自律规范》,经各公会理监事会决议通过,报主管机关备查后施行。其寿险业资讯安全防护、寿险业办理计算机系统资讯安全评估作业原则、保险业经营行动投保业务自律规范等方面的经验,值得借鉴

一、寿险业办理资讯安全防护自律规范

资讯资产包含软件、硬件、环境、文件、通讯、数据、人员等;行动装置(Mobiledevice)亦称为移动设备、流动装置或手持装置(handhelddevice)等,系指一种可携带的计算装置。典型的行动装置如智能型手机、移动电话、携带型游乐器与平板计算机、笔记型计算机等;员工携带自有设备上班BYOD(BringYourOwnDevice),是指公司政策允许员工可以在公司内使用自己的笔记本电脑、手机、平板等行动装置来连接到公司网络取用数据,或进行公务处理。台湾地区的人寿保险商业同业公会,要求各会员公司办理资讯安全规范,除依据该公司订立的资产安全处理程序及其注意事项外,还应依《寿险业办理资讯安全防护自律规范》办理,具体要求如下:

(一)各会员公司办理资讯安全规范,应至少遵循下列规定:延揽员工时,应依据相关法令、合约、产业文化及业务需求,了解该员工背景、学历、经历;应要求所聘任的员工签署资讯安全保密承诺书、雇佣契约、工作手册或相当文件,明订员工应遵守资讯安全保密协议;有委外业务者,应于委外契约中明订资讯安全保密协议;应通过定期、适当的教育训练或倡导,告知内部员工应遵循的资讯安全规范;管理阶层应督导员工遵循公司既定的资讯安全规范;员工职务异动时,应依既定程序办理资讯资产退回与存取权限的变更或取消。

(二)各会员公司应订定使用行动装置(含BYOD)的相关规范,其内容应至少包含订定行动装置管理规范、行动装置使用人员管理规范、使用行动装置的安全控管规范等项目。

(三)各会员公司应订定使用社群媒体相关规范,其内容应至少包含下列项目:订定使用社群媒体管理与监督机制;若属该公司的社群媒体者,应揭露相关资讯,至少包含公司名称和主营业场所地址、通信联络方式等事项;制定申诉处理机制。

(四)各会员公司应订定使用云端服务(含私有云)的相关规范,其内容应至少包含订定云端服务安全管理规范、订定云端服务提供者遴选机制、订定云端服务持续营运管理规范等项目。

(五)各会员公司若有建置管理系统及有关个人资产的资产安全数据,应建立资产安全防御机制,并依据寿险业办理计算机系统资讯安全评估作业原则办理各项资讯安全评估作业,以改善并提升网络与资讯系统安全防护能力。

(六)各会员公司应加强资讯安全事故管理,依资讯安全事件通报应变作业实施原则,若发生资讯安全事件时,应尽速回报公会及主管机关,并采取适当处理措施,以控制资产安全事件影响范围的扩大。

(七)各会员公司应将该自律规范内容,纳入内稽内控制度中,并定期办理查核。如有违反该自律规范的情况,经查证属实者且违反情节较轻者,先予书面纠正;如情节较重大者,报经公会理监事会通过后,处以新台币5万元以上、20万元以下的罚款;前述处理情形应于一个月内报主管机关。

二、寿险业办理计算机系统资讯安全评估作业原则

《寿险业办理计算机系统资讯安全评估作业原则》(以下简称“《作业原则》”)包括评估范围、计算机系统分类及评估周期、资讯安全评估作业、资讯系统可靠性与安全性侵害的对策、社交工程演练、评估单位资格与责任、评估报告等方面的内容。

(一)评估范围寿险业应就整体计算机系统(含自建与委外维运)依据《作业原则》建构一套评估计划,基于持续营运及保障客户权益,依资讯资产之重要性及影响程度进行分类,定期或分阶段办理资讯安全评估作业,并提交“计算机系统资讯安全评估报告”,办理矫正预防措施,并定期追踪检讨。评估计划应报公司董(理)事会或经其授权的经理部门核定,外国保险业在台分公司可授权由其在台湾地区的负责人为之;评估计划至少每三年重新审视一次。

(二)计算机系统分类及评估周期计算机系统依其重要性分为三类,如下表所示。单一系统且为数众多、财产权归属于保险公司的设备应以抽测方式办理,抽测比例每次至少应占该系统全部设备的10%或100台以上。单一系统发生重大资讯安全事件,应于三个月内重新完成资讯安全评估作业。

(三)资讯安全评估作业资讯安全评估作业项目包括资讯架构检视,网络活动检视,网络设备、服务器等设备检测,网站安全检测,安全设定检视,合规检视。其中,资讯架构检视,主要检视网络架构的配置、资讯设备安全管理规则的妥适性等,以评估可能的风险,采取必要应对措施;检视单点故障最大冲击与风险承担能力;检视对于持续营运所采取的相关措施的妥适性。网络活动检视,主要检视网络设备、服务器的存取纪录及账号权限、识别异常纪录与确认警示机制;检视资产安全设备(如防火墙、入侵侦测、防毒软件、数据防护等)的监控纪录,识别异常纪录与确认警示机制;检视网络是否存在异常联机或异常网域名称解析服务器(DomainNameSystemServer,DNSServer)查询,并比对是否有符合网络恶意行为的特征。网络设备、服务器等设备检测,主要办理网络设备、服务器的弱点扫描与修补作业;检测终端机及服务器是否存在恶意程序;检测系统账号登录密码复杂度;检视外部连接密码,如档案传输(FileTransferProtocol,FTP)联机、数据库联机等的储存保护机制与存取控制。网站安全检测,主要针对网站进行渗透测试;针对网站进行弱点扫描、程序原始码扫描或黑箱测试;检视网站目录及网页的存取权限;检视系统是否有异常的授权联机、CPU资源异常耗用及异常的数据库存取行为等情况。安全设定检视,主要检视服务器(如网域服务ActiveDirectory)有关“密码设定原则”与“账号锁定原则”设定;检视防火墙是否开启具有安全性风险的通信端口或非必要通信端口,联机设定是否有安全性弱点;检视系统存取限制(如存取控制清单AccessControlList)及特权账号管理;检视操作系统、防毒软件、办公软件及应用软件等之更新设定及更新状态;检视金钥的储存保护机制与存取控制。合规检视,主要检视整体计算机系统是否符合《作业原则》“资讯系统可靠性与安全性侵害之对策”的规范。第一类计算机系统应依前项办理资讯安全评估作业,第二类及第三类计算机系统办理资讯安全评估作业则依系统特性选择前项必要的评估作业项目。

(四)应对资讯系统可靠性与安全性侵害的对策会员公司应就提升资讯系统可靠性研拟相关对策,其内容包括:提升硬设备的可靠性(含预防硬设备故障与备用硬设备设置的对策);提升软件系统的可靠性(含提升软件开发质量与软件维护质量对策);提升营运可靠性的对策;故障的早期发现与早期复原对策;灾变对策。会员公司应就资讯安全性侵害研拟相关对策,其内容包括:资料保护(含防止泄漏、防止破坏篡改与相对应检测之对策);防止非法使用(含存取权限确认、应用范围限制、防止非法伪造、限制外部网路存取及侦测与因应之对策);防止非法程序(含防御、侦测与复原对策)。

(五)社交工程演练每年应至少一次针对使用计算机系统人员,于安全监控范围内,寄发演练邮件,加强资讯安全教育,以期防范恶意程序通过社交方式入侵。

(六)评估单位资格与责任评估单位可委托外部专业机构或由会员公司内部单位进行。如为外部专业机构,该机构应与资产安全评估标的无利害关系;若为内部单位,应独立于原计算机系统开发与维护等相关单位。办理第一类计算机系统资讯安全评估作业的评估单位应具备下列各款资格条件;办理第二类及第三类计算机系统资讯安全评估作业者,依评估作业项目需要,具备下列相关资格条件之一:1.具备资讯安全管理知识,其资格应符合下列条件之一:通过岛内外学术机构或团体所举办有关资讯安全管理知识考试并取得证书者;参加岛内外学术机构或团体所举办有关资讯安全管理知识教育训练达一定时数并取得教育训练合格证明文件者;具相关工作经验且于金融业工作达一定年资者。2.具备资讯安全技术能力,其资格应符合下列条件之一:通过岛内外学术机构或团体所举办有关资讯安全技术能力考试并取得证书者;参加岛内外学术机构或团体所举办有关资讯安全技术能力教育训练达一定时数并取得教育训练合格证明文件者;具相关工作经验且于金融业工作达一定年资者。3.具备模拟黑客攻击能力,其资格应符合下列条件之一:通过岛内外学术机构或团体所举办有关模拟黑客攻击能力考试并取得证书者;参加岛内外学术机构或团体所举办有关模拟黑客攻击能力教育训练达一定时数并取得教育训练合格证明文件者;具相关工作经验且于金融业工作达一定年资者。4.熟悉金融领域载具应用、系统开发或稽核经验。相关检视文件、检测纪录文件、组态参数、程序原始码、侧录封包数据等与评估作业相关的全部数据,评估单位应签立保密承诺书并提供适当保护措施,以防止数据外泄。评估单位及人员不得有隐瞒缺失、不实陈述、泄露数据及不当利用等情形。

(七)评估报告“计算机系统资讯安全评估报告”内容至少包含评估人员资格、评估范围、评估时所发现的缺失项目、缺失严重程度、缺失类别、风险说明、具体改善建议及社交演练结果,且送稽核单位进行缺失改善事项之追踪复查;该报告应并同缺失改善等相关文件至少保存五年。

三、保险业经营行动投保业务自律规范

行动投保业务,系指经客户于保险公司所出具的书面文件(下称“确认同意书”)确认同意通过业务员提供的含有触控书写功能的平板计算机、手机、笔记型计算机及个人计算机等电子设备(以下简称“行动装置”)输入客户要保数据,以电子文件方式代替纸质要保书及相关文件,与保险公司缔结保险契约的业务。台湾地区的人寿保险商业同业公会与产物保险商业同业公会共同订定了《保险业经营行动投保业务自律规范》,要求各会员办理保险业经营行动投保业务,应遵守保险法、金融消费者保护法、个人数据保护法、保险业招揽及核保理赔办法、保险业务员管理规则等相关规定。各会员公司应确认业务员所提供行动装置的接口及尺寸,可清楚显示电子文件内容,以供客户确实了解相关资讯。《保险业经营行动投保业务自律规范》包括目的、行动投保业务定义、法令遵循宣示、办理行动投保业务的业务员应符合的条件、办理行动投保的控管作业程序、行动投保作业应遵循的步骤、行动投保作业应揭露资讯内容、资讯安全控管应遵循事项、归档资料的保存、客户申诉及抱怨、保险犯罪通报、纳入内稽内控、罚则等,其具体内容如下所述:

(一)办理行动投保业务的业务员应符合的条件各会员办理该业务的业务员应符合下列条件:须为现行有效登录于所属公司的业务员,如招揽的保险商品属应通过特别测验始得招揽者,还应通过该项测验合格;应参加所属公司办理与该业务有关的教育训练,并经测验合格。业务员如有离职、取消登录或丧失招揽资格情形时,所属公司应立即停止其使用该业务行动装置的资格及登录权限。各会员办理上述教育训练及测验,应留存相关记录以资验证。

(二)办理行动投保的控管作业程序各会员办理该业务,应订定内部控制作业处理程序,内容应至少包括作业流程、行政控管机制、系统控管机制等内容,以作为办理该业务的准据。

(三)行动投保作业应遵循的步骤各会员办理该业务的作业,应遵循下列事项:业务员须使用所属公司配给的账号及密码,始得登录行动装置的操作系统;登录后应于行动装置上,完成客户要保相关数据的输入;由客户浏览并确认要保相关数据输入内容后,于行动装置上亲自签名,并由客户另于确认同意书上签名,以确认客户确有通过行动装置投保的意思;应设置确认同意书与要保资料勾稽的控管流程;业务员招揽过程须请要保人、被保险人提供足以辨识其身份之证明文件,并与要保书填载内容核对无误后于业务员报告书声明确认。如属有约定续保条款且保险金额未异动、降低或缩减承保范围的续保件,或一年期伤害保险及健康保险于到期前完成续保且保险金额未异动、降低或缩减承保范围的续保件者,可以客户最初投保签具的确认同意书作为客户确有通过行动装置续保的意思证明。

(四)行动投保作业应揭露资讯内容各会员办理该业务,应依规定及投保险种的不同,于行动投保页面提供相关文件(如同意行动投保声明事项、履行个人数据保护法告知义务内容、投保须知、要保填写内容、传统型个人人寿保险契约审阅期间确认声明书及顾客适合性鉴别暨建议书目录摘要表等)供保户检视或同意,确认输入的内容无误。应提供的相关文件如未于行动投保页面呈现者,应另行提供纸质文本。

(五)资讯安全控管应遵循事项各会员办理该业务的资讯安全控管应遵循下列事项:对于业务员登录行动装置操作系统的身份认证安全控管,应依设定密码的安全控管作业进行密码设定与身份验证;办理该业务输入的要保数据,均应以加密方式储存,并须以账户及密码登录后,始能查阅相关内容;不得将客户个人数据储存于行动装置,如因联机问题无法实时回传系统时,应将已输入数据文件以AES加密或相当等级以上的加密方式暂存于行动装置至多24小时,并不得以任何方式转存,逾时将自动删除或封锁,以确保资讯安全;已签署的要保数据传输至主机系统时,系统应即同步删除行动装置留存的要保数据;业务员登录密码应定期更换,频率不得高于90天,逾期未变更者,各会员应暂停其系统登录的权限,以避免盗用的情形;明订业务员遗失行动装置的标准通报流程以及接获通报后的标准处理作业流程;建立备援机制相关规范;定期检视该业务相关资讯系统的安全性及资讯安全控管制度的有效性,并依检视结果,实行必要的矫正与预防措施。

(六)归档资料的保存各会员对于办理该业务已归档储存的电子要保书等相关数据,其保存期限不得低于契约期满或通知要保人不同意承保后五年。

(七)客户申诉及抱怨各会员应设置免费服务专线处理客户因该业务引发的申诉与抱怨,对客户的申诉与抱怨应积极进行处理,并迅速给予妥适响应。

(八)保险犯罪通报各会员办理该业务,若发现有疑似保险犯罪情形,应通报有关机关。

(九)纳入内稽内控各会员办理该业务,应将自律规范内容纳入内部控制及内部稽核项目,并依据“保险业内部控制及稽核制度实施办法”相关规定办理。违反该自律规范,经查核属实者,可经所属公会理监事会决议后视情节轻重予以纠正,或处以新台币20万元以上60万元以下的罚款,并呈报主管机关。各会员所属公会未依前项规定申报或处理者,主管机关应作必要的处置。各会员的业务员(含电话营销人员)或业务主管有违反该自律规范的情形者,其所属公司应依据“保险业务员管理规则”及“保险业招揽及核保理赔办法”相关规定予以惩处,并函报所属公会备查。

四、结束语

2015年7月16日,我国首个金融资讯行业协会上海金融资讯行业协会成立,该协会将与政府部门、相关行业协会、金融机构一起,共同推进互联网金融行业规范有序的发展。金融资讯的行业概念要远早于互联网金融,在“互联网+”时代,在IT资讯行业和金融行业不断进行产业融合的当下,其内涵和外延都得到了不断的丰富和发展。金融资讯行业协会的成立有助于推动P2P平台加强资讯披露,提升行业透明度,保护投资人利益。2015年7月18日,《关于促进互联网金融健康发展的指导意见》对外,明确提出互联网金融的主要业态包括互联网支付、互联网保险和互联网消费金融等。在政策环境向好的大形势下,“互联网+金融”热极一时,但互联网金融行业的异军突起也给了投机分子可乘之机。“互联网+金融”在进入快车道的同时,平台漏洞、系统漏洞亦如影随形。建议借鉴前述我国台湾地区保险业资讯安全防护方面的已有经验,并采取相关措施抵御风险。

作者:郑晓玲 朱栩 单位:海南经贸职业技术学院 江泰保险经纪股份有限公司海口分公司