本站原创
【摘 要】现代社会是个信息化高速发展的社会,很多企业都很注重自身的信息化建设,国内很多保险企业亦是如此,都在积极开展数据中心的建设。但是保险企业在构建自己的信息化平台的时候,往往忽视了信息安全管理。信息化虽然提高了企业的运营效率,同时也加大了企业的信息安全风险,所以构建一个安全的信息管理体系就非常重要了。本文主要阐述了保险企业计算机信息安全管理的体系构建问题,通过计算机信息安全管理达到信息化建设的健康发展。
【关键词】信息安全管理;保险企业;体系构建
0.引言
保险企业的计算机信息安全管理给企业自身的发展带来了非常多的好处,不仅能够实现企业办公的自动化和信息化,同时也提高了企业的运营效率。保险企业的信息化主要是保险企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。从目前的保险企业来看,很多企业都已经开发了适合自己企业的计算机信息系统来满足企业的运转,企业通过开发计算机信息系统平台,提高了自身产品、经营、管理、决策的效率和水平,进而提高了企业的经济效益和竞争力。同时,我们也要注意到,保险企业开发计算机信息系统是好事情,但是如果忽略了对计算机信息安全的管理,就将是个大问题。在如今,计算机信息安全性对于保险企业来说比开发系统更为重要,企业一旦出现信息安全问题,后果不堪设想。有最新的数据表明,计算机病毒和攻击已经给国民经济和企业造成了难以估量的损失。所以,保险企业计算机信息安全管理的体系构建迫在眉睫,必须要引起高度重视。
所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。
【参考文献】
许雅娟.网络攻击分类研究[J].硅谷,2011(06).
宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).
[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).
[4]戴宗坤.信息安全法律法规与管理/信息安全理论与实用技术丛书,2005.
[5](美)惠特曼信息安全管理/信息安全丛书,2005.
【关键词】信息安全管理;保险企业;体系构建
0.引言
保险企业的计算机信息安全管理给企业自身的发展带来了非常多的好处,不仅能够实现企业办公的自动化和信息化,同时也提高了企业的运营效率。保险企业的信息化主要是保险企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。从目前的保险企业来看,很多企业都已经开发了适合自己企业的计算机信息系统来满足企业的运转,企业通过开发计算机信息系统平台,提高了自身产品、经营、管理、决策的效率和水平,进而提高了企业的经济效益和竞争力。同时,我们也要注意到,保险企业开发计算机信息系统是好事情,但是如果忽略了对计算机信息安全的管理,就将是个大问题。在如今,计算机信息安全性对于保险企业来说比开发系统更为重要,企业一旦出现信息安全问题,后果不堪设想。有最新的数据表明,计算机病毒和攻击已经给国民经济和企业造成了难以估量的损失。所以,保险企业计算机信息安全管理的体系构建迫在眉睫,必须要引起高度重视。
1.保险企业信息安全管理的现状
计算机信息安全问题不是保险企业才存在的问题,是全球企业都存在的普遍问题,越发达的地区,信息安全存在的隐患越多。一方面,现在互联摘自:学术论文格式模板www.udooo.com
网的发展速度非常快,信息技术的日趋完善,出现了很多的恶意攻击工具,再加上信息系统本身的漏洞,让一些破坏分子更是有机可乘;从另外一个角度来看,企业自身对信息安全管理不重视,也是导致出现信息安全问题的首要原因之一。近年来,保险行业处于高速发展的时期,暴露出的问题也相对比较多,我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题:1.1没有相关的法规来约束
与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多,但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行。因此,保险行业的信息安全标准和规范的缺少和无体系化,导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。1.2没有引起足够的重视
很多保险企业的管理层对信息安全管理不太关注,不够重视,没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展,销售策略调整,组织结构和运营流程的优化等,对信息安全管理不太重视,不太相信信息安全问题能给企业会带来严重危机,直到发生了信息安全事件后之后才开始重视。因此,保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。1.3对存在的风险评估不够
很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够,没有充分考虑到信息化所带来的安全风险,通常只是考虑到信息技术问题,对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分,都会带来严重的后果,一旦信息系统出现严重缺陷或漏洞的时,系统受到破坏,正常的业务操作无法进行,严重的可能会导致企业内部机密、客户的泄露或者重要数据被盗、被篡改等。所以,保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。1.4没有制定相应的安全管理条例,无明确责任划分
保险企业相关的信息技术安全之所以存在一系列的问题,和企业没有制定相应的安全管理制度,没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约,出了信息安全问题以后的责任划分不清晰,长此以往,信息安全问题的监管就会出很大的漏洞,也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题,而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分,每个部门都应该有信息安全的负责人,出了问题要做到有人承担,如果不这样的话就会影响到信息安全管理体系的构建,成为企业信息安全管理的绊脚石。所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。
2.保险企业计算机信息安全管理的体系构建
2.1掌握安全管理标准,构建安全管理基本框架
要熟悉掌握信息安全管理标准,对信息技术的安全管理标准要进行不断深入的理解,不能仅仅考虑到信息技术,而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果,推出了信息安全标准,成立了信息安全标准化组织,搭建了信息安全标准体系框架。在我国,虽然信息安全的研究起步比较晚,但是也在不断的完善中,已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准,主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级,根据这五级标准,也分别提出了关于建立安全管理体系的相关措施。所以,保险企业应该参考这些标准,构建适合自身行业、企业信息的安全管理基本框架,这对于企业的健康稳健发展是非常有意义的。2.2实现科学的信息安全管理
保险企业要实现科学的信息安全管理,不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法,如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等,建立科学的可实施的计算机系统安全策略,采取规范的安全防范措施,选用可靠稳定的安全产品,设计完善的安全评估标准和等级,实施有效的审核措施等来实现对信息的安全管理。2.3进行有效的安全风险评估
保险企业在搭建信息化平台的时候,必须要进行安全风险的评估,没有风险的评估是很难实现信息安全管理的。同时,还需要在对信息安全风险的评估中制定出风险的应对方案,便于应对突发问题,从最大程度上保证信息的安全。2.4合理配置安全产品
对于评估出来的风险,保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞,这些漏洞很容易受病毒的攻击,那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性,不能什么安全产品都去配置,要通过最优化的安全产品配置达到企业信息的安全管理。【参考文献】
许雅娟.网络攻击分类研究[J].硅谷,2011(06).
宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).
[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).
[4]戴宗坤.信息安全法律法规与管理/信息安全理论与实用技术丛书,2005.
[5](美)惠特曼信息安全管理/信息安全丛书,2005.