中国保险监督管理委员会|保监厅发〔2007〕28号|2007-06-06发布|2007-06-06实施|现行有效
保监厅发〔2007〕28号

为进一步强化信息安全意识，提高保险业信息安全保障水平，现将开展2007年保险业信息系统安全检查工作有关事项通知如下：
一、信息安全检查的目的、原则和范围
（一）信息安全检查的目的
通过信息安全检查工作，分析网络与信息系统面临的风险，评估网络与信息系统的安全状况，查找薄弱环节和安全隐患，进一步强化信息安全意识，规范信息安全管理，提高保险信息系统的安全保障能力。
（二）信息安全检查的原则
按照“谁主管谁负责，谁运营谁负责”的原则，遵循“统一领导、分级负责，周密部署、务求实效”的方针，突出重点，充分吸纳去年信息安全检查的成功经验，切实做好保险信息系统安全检查工作。
（三）信息安全检查的范围
各保险公司、保险资产管理公司。
二、信息安全检查的方式和具体内容
（一）信息安全检查的方式
以各公司自查为主，中国保监会将组织检查组进行抽查。中国保监会统计信息部负责全行业信息安全检查工作的组织领导，各公司负责各自的信息系统安全自查工作的组织实施。
（二）信息安全检查的具体内容
1、资产调查。对网络与信息系统的资产进行统计调查，并分析其重要程度。资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。
（1）确定自查范围。
（2）对相关资产进行分类。
（3）对资产重要性进行分析。
（4）统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据库等关键资产及信息技术服务和信息安全服务的国产化率。
（5）外国供应商提供产品和服务情况。
资产调查和赋值方法参见附表1和附表2，外国供应商提供产品和服务情况参见附表3。
2、威胁分析。对网络与信息系统所面临的威胁进行分析。
（1）分析威胁来源，包括环境因素和人为因素等。
（2）对威胁进行分类。
（3）研究威胁发生的可能性。
（4）分析威胁的严重程度。
威胁分析和赋值方法参见附表4和附表5。
3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和归纳，对已有安全管理体系、安全措施进行核实和评价。
（1）规章制度：安全策略及管理规章制度是否健全，有关规章制度的制定、发布、修订及执行情况，对有关政策、法规以及行业监管责任的落实情况。
（2）安全组织与职责：安全组织体系是否健全，管理职责是否明确，安全管理机构岗位设置、人员配备是否合理。
（3）人员管理：人员的安全和保密意识教育、安全技能培训情况，重点、敏感岗位人员有无特殊管理措施。
（4）体系结构：网络与信息系统的体系结构、各类安全保障措施的组合是否合理。
（5）网络安全：安全域划分、边界保护、内网防护、外部设备接入控制、内外网物理隔离等情况。
（6）设备和操作系统安全：网络交换设备、安全设备。主机和终端设备的安全性，操作系统的安全配置、病毒防护、恶意代码防范等。
（7）应用系统安全：数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况；关键应用系统开发过程中的质量控制和安全性测试情况。
（8）运维管理：设备、系统的操作和维护记录，变更管理，安全事件分析和报告；运行环境与开发环境的分离情况；安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况。
（9）数据安全：数据访问控制情况，服务器、用户终端、数据库等数据加密保护能力，磁盘、光盘、U盘和移动硬盘等存储介质管理情况，数据备份与恢复手段等。
（10）物理环境安全：机房安全管控措施、防灾措施、供电和通信系统的保障措施等。
（11）关键资产和服务管控：关键资产采购时是否进行了安全性测评，对服务机构和人员的保密约束情况，在服务提供过程中是否采取了管控措施。
（12）应急响应与灾难恢复：应急响应体系（应急组织、应急预案、应急物资）建设情况，应急演练情况，系统灾难备份措施情况。
脆弱性分析和赋值方法见附表6和附表7。
4、综合评估。根据上述检查结果，综合分析网络与信息系统的整体安全现状。
（1）对资产、威胁、薄弱环节、已有安全措施进行综合分析，分析安全事件发生的可能性。
（2）分析安全事件发生后可能造成的后果及影响。
（3）分析网络与信息系统的整体风险状况，提出风险列表。
风险赋值方法见附表8。
5、研究提出整改措施。根据对网络与信息系统的风险状况，结合法律法规、国家和行业政策要求以及当前的重点任务，统筹考虑，研究提出风险应对措施。
三、信息安全检查工作的要求和安排
（一）各公司应建立信息安全检查领导机构，由分管信息安全的公司领导亲自抓，切实加强自查工作的组织实施，并将自查方案报中国保监会统计信息部备案。（2007年6月25日前完成）
（二）各公司应完成信息系统的自查工作，并将检查结果以及改进措施报中国保监会统计信息部。中国保监会将对部分公司进行抽查。（2007年7月31日前完成）
（三）中国保监会对此次检查情况、发现的问题进行分析汇总后，将向全行业通报。
中国保监会统计信息部联系人：李春亮、王晓鹏
联系电话：010-66286107、010-66286602
附表：
1、资产分类表
2、资产赋值方法
3、外国供应商提供产品和服务基本情况统计表
4、威胁分析表
5、威胁赋值方法
6、脆弱性分析表
7、脆弱性赋值方法
8、风险赋值方法
二○○七年六月六日
附表1：资产分类表
类别
项目
资产编号
资产名称
资产权重
说明
硬件
软件
服务
信息
人员
附表2：资产赋值方法
等级标识
定义
VH（很高）非常重要，其安全属性破坏后可能对被评估单位
造成非常严重的损失。
H（高）
重要，其安全属性破坏后可能对被评估单位造成
比较严重的损失。
M（中）
比较重要，其安全属性破坏后可能对被评估单位
造成中等程度的损失。
L（低）
不太重要，其安全属性破坏后可能对被评估单位
造成较低的损失。
VL（很低）不重要，其安全属性破坏后对被评估单位造成很
小的损失，甚至忽略不计。
附表3：外国供应商提供产品和服务基本情况统计表
业务系统名称
项目名称型号原产商代理商集成商
硬件
软件
服务厂商服务
服务内容
服务
名称类型
周期
注：服务类型分为风险评估、安全咨询与培训、系统集成、安全管理服务、安全外包、应急响应与应急恢复以及其他安全服务（如系统运营、工程服务、报警服务、专业招聘服务等）。
附表4：威胁分析表
威胁来源子项
威胁编号
可能影响
严重程度说明
的资产
环境因素
人为因素
附表5：威胁赋值方法
等级
标识定义
很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避
免；或可以证实经常发生过。
高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会
发生；或可以证实多次发生过。
中出现的频率中等（或〉
1次/半年）；或在某种情况下可能会
发生；或被证实曾经发生过。
低出现的频率较小；或一般不太可能发生；或没有被证实发生过。
很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。
附表6：脆弱性分析表
类别
编号
潜在影响严重程度
说明
规章制度
安全组织与职责
人员管理
体系结构
网络安全
设备和操作系统安全
应用系统安全
运维管理
数据安全
物理环境安全
关键资产和服务管控
应急响应与灾难恢复
附表7：脆弱性赋值方法
等级
标识
定义
VH（很高）如果被威胁利用，将对资产造成完全损害。
H（高）
如果被威胁利用，将对资产造成重大损害。
M（中）
如果被威胁利用，将对资产造成一般损害
L（低）
如果被威胁利用，将对资产造成较小损害。
VL（很低）如果被威胁利用，将对资产造成的损害可以忽略。
附表8：风险赋值方法
等级
标识
定义
很高风险很高，导致系统受到非常严重影响。
高
风险高，导致系统受到严重影响。
中
风险中，导致系统受到较严重影响的。
低
风险低，导致系统受到一般影响。
很低风险很低，导致系统受到较小影响。