提高认识扎实推进 全面加快保险信息安全保障体系建设
——李克穆副主席在保险业信息安全保障工作会议上的讲话
2008年5月13日
同志们:
这次会议是中国保监会就信息安全工作召开的一次专题会议,主要任务是:贯彻落实党中央国务院有关金融信息安全工作的一系列要求,总结近年来的保险信息安全保障工作,分析当前的信息安全形势,统一思想,提高认识,明确任务,加快保险业信息安全保障体系建设。下面,我讲三点意见。
一、保险业信息安全保障工作的基本情况
近年来,保险业信息化发展非常迅速,在促进业务发展、加强保险创新、提高服务水平、提升核心竞争力方面发挥着日益重要的作用。为防范化解信息科技风险,保障国家金融安全,根据党中央国务院对金融信息安全的要求,保险业信息安全保障做了大量工作,认识不断深入,重视程度不断提高,在制度建设、安全建设和应急管理等各个方面取得了显著成绩,基本保障了信息系统的稳定、安全运行。
(一)安全意识不断增强,信息安全责任制稳步落实。保险业各单位都明确了由分管信息化的高管人员来负责信息安全保障工作,组建了多层次的信息安全领导机构,有效加强了信息安全保障工作的组织领导。各级保险机构设立了信息安全管理的专门岗位,确保责任到人,这一点我们在新设保险机构开业的要求里也已经明确。目前,全行业制订并完善了信息安全管理的制度、流程和应急管理机制,编制了信息化工作重大事件应急预案,加强了全体人员的信息安全教育和培训工作,保险业信息安全的整体意识明显提高。
从几个大型保险公司来看,中国人民财产保险公司建立完善了近两百个信息系统运行维护管理的规范和操作流程,并开展了全国范围的运维规范大检查,促进信息化工作的制度化、规范化和程序化,有效增强了全公司的安全责任意识。中国人寿保险股份公司加快了信息安全监控平台的建设,在各分公司之间进行交叉性的安全风险评估,探索开展应用系统安全渗透检查,进一步加快了安全风险点的整改工作。中国太平洋保险集团公司在集团层面专门成立了信息系统运维中心,实施了信息系统开发、测试环境的物理分离,完善了应急管理体系,强化了运维安全管理。中国平安保险集团等一些公司每年都组织实施大规模的信息系统灾难恢复和应急演练,不断总结经验,有效地提高了应急能力。
(二)人力物力投入不断加大,信息安全建设扎实推进。2007年,保险信息化资金投入47.3亿,其中信息安全投入近1.6亿,信息化人员数量超过9200人,人力物力投入的不断加大有效加快了保险业信息化和信息安全建设。各公司信息化基础设施建设不断加强,对关键信息系统进行了重点保护,技术上采取了防病毒、防火墙、入侵检测、漏洞扫描以及数据异地备份等措施,有效地避免了因自然灾害、外来攻击等造成的信息系统破坏。目前,中国平安保险集团公司已经在深圳建立了数据中心,在上海建立了灾难备份中心,实现系统和数据的互备,增强了信息系统持续运行的能力。中国人保、中国人寿、中保集团和太平洋保险集团等大型保险公司也已经启动了新数据中心和灾难备份中心的建设,绝大部分公司基本都制定了异地灾备方案和应急计划。
在信息化应用不断深入,网络与信息系统日趋复杂的情况下,保险信息系统保持了良好的运行状况。这两年,保险业一共发生了三起信息安全事件,分别是新华人寿保险公司网站被篡改,太平保险公司网站被黑客攻击和太平洋保险集团总部的局部网络被病毒入侵,虽然都没有对生产经营系统造成较大影响,没有造成较大的经济损失和社会影响,但必须引起保险业的高度关注。
(三)行业规划和制度建设不断加强,监管制度体系逐步完善。中国保监会历来高度重视信息安全工作,将信息科技风险纳入行业风险进行统一管理,不断推进各项信息安全监管措施。一是发布了《中国保险业发展“十一五”规划信息化重点专项规划》,提出了构建保险信息安全保障体系的总体目标,对“十一五”期间保险业信息安全治理、运行安全、风险评估、灾难恢复以及安全标准等工作进行了部署,并要求保险信息安全投入在2010年达到信息化建设投入的10%,保险网络与核心信息系统无故障运行率不低于99.9%。《规划》的实施将有助于推动保险信息安全建设与保险信息化的协调发展。二是出台了一系列制度规定,在保险公司开业信息化验收、信息化重大事项报告、信息系统安全应急预案以及信息系统灾难恢复等方面进行了规范,基本形成了事前预防、事中管理、事后处置的一套信息科技风险监管框架。三是协调国家有关部委制定了《保险信息系统应急协调预案》,使保险信息系统进入国家电力保障的重点范围,从基础环境上提高了保险信息系统安全保障能力。
目前,保监会已经申请了保险信息系统安全风险评估的国家级课题,启动了保险业信息系统风险评估指标体系和评估规范的研究,进一步推进保险信息科技风险监管工作。
(四)加大信息安全检查力度,安全监管格局初步形成。自2006年以来,保监会每年都组织开展保险行业的信息安全检查工作,对保险业信息化内控制度、安全设施建设和组织管理进行检查。期间,组织国务院信息化工作办公室的专家组对中国人寿保险股份公司和泰康人寿保险公司进行了现场考察,组织信息安全检查小组对新华人寿、永安财险、中意人寿等公司进行了现场检查。2007年,我们还协调国家有关部门,组织开展了全行业的信息系统安全等级保护定级工作。
通过开展信息安全检查,进一步排查了信息系统安全风险点并进行了整改,对于检查中发现的问题,我们进行了汇总分析,在保险行业内进行了通报,与此同时,我们也不定期的将日常工作中发现的问题和最新的信息安全动态在行业内进行通报和预警,有效提高了保险业信息安全保障的整体水平,确保了全行业信息系统的安全稳定运行。
二、深刻认识保险信息安全保障工作的形势和重要意义
当前,国际国内形势错综复杂,国际间在信息网络空间的竞争日趋激烈。信息安全作为一种非传统安全已成为国家安全的重要组成部分,给国家经济和金融安全带来了严峻的挑战。
保险信息系统是国家重要信息系统,是保险业持续稳定发展的重要保障。随着保险信息化的深入发展,保险业经营管理对信息技术高度依赖,信息安全面临新的考验,特别是保险业全面进入业务系统整合、数据大集中和信息资源开发利用的新阶段,以及保险电子商务等依托信息技术的创新产品迅速发展,信息安全对保险业稳定发展、被保险人利益乃至国家经济金融安全、社会稳定具有越来越重要的意义。
党中央国务院高度重视信息安全,特别是金融信息安全。中国保监会在行业规划、制度建设以及安全监管等方面也开展了一系列工作。总体来看,保险信息安全保障体系建设正在稳步推进,保险业信息安全状况总体上是好的。但是,我们必须清醒地认识到,保险信息安全离保险业又好又快发展的要求仍有较大差距,集中体现为:一是全行业特别是各公司的高层人员对新时期保险信息安全的认识不充分,重视程度不高,没有认识到一旦发生信息安全事件会对被保险人利益、公司发展和保险业形象造成严重伤害,进而可能影响到行业的稳定发展,以为信息安全就是“锦上添花”,可有可无,从而缺乏信息安全规划,安全保障工作的整体性较差。二是信息安全的投入严重不足,2007年,信息化资金投入绝对数额相比06年增加不少,但仅占保费收入的0.67%,占比在下降,明显滞后于保险业的发展,而安全投入占信息化总投入的比例为3.4%,安全防护措施更加滞后于信息系统的开发建设,离“十一五”规划的要求相差较远;三是信息安全管理制度仍然不健全,管理相对粗放,安全责任没有层层落实,特别是一些中小保险公司,人员投入严重不足,技术储备和信息安全事件研判能力十分有限;四是应急设施不完备,灾难备份与恢复工作较为滞后,应急管理机制不完善,演练不充分,应急处置能力有待加强。可以说,保险业信息安全的抗攻击、防渗透能力一般,很难抵御一些有组织、有预谋的技术攻击,形势不容乐观。
今年八月,举世瞩目的第二十九届奥运会将在北京召开。届时,国际国内都将把目光聚焦在中国。从目前的形势来看,非法组织和个人利用信息技术手段对重要信息系统实施攻击和控制,进而影响经济社会发展是一个重要动向,特别是金融信息安全,牵涉面广,影响重大。
据国家有关部门获悉,这几年,针对金融网络系统实施的违法犯罪活动呈高发态势,在金融领域发生了不少具有较大影响的信息安全事件。保险业应该说很幸运,没有发生较大的信息安全事件,但这并不表示未来也肯定不会发生,我们决不能因此而放松警惕。金融领域其他行业已经经受了不少考验,信息安全保障能力也有了不小的提高,而保险业信息化建设相对较为滞后,安全保障能力也没有经历过大的考验。这两年连续发生的几次小事件给我们敲响了警钟,保险业在国民经济中的地位和影响不断提高,正越来越被关注。我们必须要从保险业又好又快发展乃至国家社会经济稳定的高度出发,增强忧患意识,增强紧迫感和责任感,未雨绸缪,决不能有侥幸心理,要把各项工作想在前面,做在前面,切实抓早、抓细、抓实。
三、扎实推进,全面加快保险信息安全保障体系建设
随着保险信息化建设进程的不断加快,网络与信息系统的基础性、全局性作用日益增强,迫切要求加强信息安全保障工作。保险业必须科学分析并及时应对当前及今后一段时期信息安全工作面临的复杂形势,充分认识加强信息安全保障工作的极端重要性,正确处理信息化建设与信息安全的协调发展关系,加快体制、机制改革,推进体系创新,完善手段,进一步做好信息安全保障工作,努力开创保险信息安全保障工作的新局面。
(一)提高认识,加强组织领导。信息安全保障是保险业一项长期而艰巨的任务,它关系到广大被保险人的利益,关系到企业自身的持续发展,关系到行业的健康稳定,决不是可有可无,决不能因为安全事件没有落在自己头上就高枕无忧。我们保险业是经营风险的行业,我们必须要有这样的风险意识和责任感,特别是各公司的领导层,对信息安全要引起高度重视。信息安全保障工作涉及面广,任务艰巨,必须加强领导。各公司党委、领导层都要将信息安全保障作为一项长期工作来抓,建立健全信息安全管理体制和制度体系,明确主管领导,落实责任部门,全面落实信息安全责任制,确保措施到位,责任到人。出了问题,要追究有关领导和人员的责任。要深入开展信息安全宣传工作,提高保险业信息安全的整体意识。
加强信息安全保障工作,必须把握好三个原则:一是坚持一手抓信息化建设,一手抓信息安全。二是坚持管理与技术并重。三是坚持统筹兼顾,突出重点,适度安全。今天会后,在座的各位回去都要把会议情况向公司领导层传达,近期要对信息安全保障工作进行专题研究。
(二)加大投入,夯实基础设施建设。信息安全保障工作需要一定的财力、物力,需要配备素质高、业务能力强的专门人才。要加大资金、人员、技术、管理等资源投入,加大对信息安全基础设施建设和基础性工作的支持力度,完善资源共享机制,优化资源组合。一是不断加强数据中心、骨干网络和电力设施等基础建设,对核心设备采取必要的冗余措施并重点保护,增强基础设施的可靠性和稳定性。二是加强信息安全的体系化建设。信息安全往往遵循“木桶”原理,最短的那块木板决定了信息安全保障能力的高低,所以加强信息安全保障工作的体系化十分重要。各公司必须要加强信息安全的整体规划,不断丰富并完善信息安全保障手段,全面提高信息安全保障能力。三是要进一步健全日常管理,做好管理的制度化、规范化和标准化,加强对内部人的管理和核查,加强对外包服务和核心业务系统建设的监督与审查,实施对重要系统、核心设施和关键操作等的重点监控,建立健全信息安全监控体系,加强应急演练,提高信息安全的预警、防范和处置能力。四是逐步形成有效的风险防范机制,继续做好等级保护工作,全面开展信息安全风险评估,适当的时候可以引进国家有关信息安全测评机构进行风险评估,加快信息安全风险点的排查和整改工作,提高保障能力。
《中国保险业发展“十一五”规划信息化重点专项规划》对“十一五”保险信息安全保障工作已经提出了明确的要求和任务,今年是“十一五”的第三年,也是承上启下的关键一年。各公司要对照规划,拿出贯彻落实的工作计划和具体措施,全面加快保险信息安全保障体系的建设。
(三)完善制度,加强信息科技风险监管。中国保监会在信息科技风险监管方面已经建立了一些制度。下一步,要围绕保险信息科技风险监管,进一步加快监管工作的制度化进程。一是研究建立保险信息科技风险监管框架,逐步形成覆盖信息科技风险监管各个方面的一整套监管制度和规范。二是尽快建立一套保险信息系统风险评估指标体系和评估规范,要利用信息技术开发一套保险公司信息科技风险监管软件,对公司的信息安全工作进行评估和考核,将科技风险监管日常化、规范化和程序化。三是完善保险业信息化工作重大事项报告制度,加强信息技术风险的监控与管理。要认真研究保险信息安全面临的新形势、新问题,对现有的制度不断充实完善,不断提高信息科技风险监管的有效性。今后,按照“谁主管,谁负责,谁运营,谁负责”的原则,要把信息化以及信息安全工作与公司的发展相挂钩,对信息安全不符合要求的公司要采取综合监管措施,对公司的主要负责人要问责,对相关的责任人要严肃追究责任。
今年4月,保监会已经向全行业下发了关于开展2008年度网络与信息安全检查的通知。各保险公司要按照要求,认真对待,精心组织,按时完成各项自查和整改工作,将有关情况报送保监会,对迟报、不报以及敷衍了事的公司要予以严肃批评,要加大监管力度,采取必要的监管措施。
(四)加强协调,提高安全应急能力。要针对当前信息安全的新形势、新问题和新变化,进一步完善保险业信息系统与网络重大事件应急预案和应急协调预案,加强应对突发事件的能力。认真做好保险信息安全通报工作,完善并创新信息安全通报工作体系,加强保险信息安全的预警,提高信息安全事件的研判和处置能力,确保保险信息安全保障工作的有序开展。要加强信息安全的交流与研究,形成行业的整体合力,提高整体水平。
我们将继续加强与国家网络与信息安全信息通报中心等有关单位的沟通协调,使保险公司及时了解信息安全面临的局势,防范风险。要协调国家电力、电信等基础设施监管部门,努力改善保险信息系统安全运行的基础环境。
(五)严密部署,确保奥运信息安全。确保奥运期间信息安全是当前保险信息安全保障工作的首要任务。当前,各公司要对网上保险、公司网站和主要业务系统,抓紧风险排查和整改工作。要抓紧修订完善应急预案,落实应急设备、物资和人员等资源,做好应急演练,不能满足于“纸上谈兵”。奥运前后这段时间,原则上不要上线新业务系统或开展大的系统升级改造,特别需要的必须要经过严格的安全测试和影响分析才能上线,确保信息系统平稳运行。会后,保监会要针对奥运信息安全,进一步完善工作方案,加强组织领导,采取措施,把这次奥运期间的保险信息安全保障工作部署好。我们的信息安全决不能出现任何纰漏,保险业也决不允许出现任何影响国家经济社会稳定的问题。
中国人民财产保险公司是这次北京奥运会的合作伙伴,在这方面更加要做好充分准备,要加强组织领导,严密部署,排查风险点,消除隐患。中国人保集团内部也要调配好资源,加强协调,相互支持,形成整体合力。
同志们!信息安全保障是保险业的一项长期工作,任重而道远,但是意义重大。我们必须要不断增强忧患意识,增强紧迫感和责任感,从维护行业稳定和持续发展乃至国家经济金融安全的高度出发,全面加快保险信息安全保障体系建设,提高保险信息安全保障能力和水平。我相信,有党中央国务院的坚强领导,在中国保监会的组织下,保险业信息安全保障工作必将不断前进,成为保障保险业又好又快发展的坚强力量。