保險業資訊安全防護經驗借鑒范文

本站小編為你精心準備了保險業資訊安全防護經驗借鑒參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

2015年6月17日，有人在補天漏洞平臺了某中資中型財產保險公司的一個漏洞，并附有該保險公司漏洞被侵入后的界面圖。根據描述，該漏洞可導致該公司的“全部員工個人資訊及公司各種敏感資訊泄露”。其后，某大型上市壽險公司再次被媒體曝出“省系統存在漏洞，可泄漏百萬條客戶資訊”?！蹲C券日報》記者查閱國內的漏洞盒子、補天漏洞等漏洞檢測平臺發現，險企的網絡平臺存在漏洞并非個例，超過20家保險機構的官網等平臺被漏洞檢測平臺測出各類漏洞。

被曝出有漏洞的平臺涵蓋大、中、小型各類保險公司，從各保險機構曝出的漏洞類型來看，部分高危漏洞可暴露客戶的保單資訊、微信支付資訊、客戶姓名、電話、身份證、住址、收入、職業等敏感資訊，甚至是充值卡、資金都可以被轉移。這些資訊一旦泄露，造成的危害不僅是個人隱私全無，還會被犯罪分子利用，例如被用于復制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經濟犯罪。臺灣地區的人壽保險商業同業公會為規范會員公司資訊業務與相關資訊資產的安全，發揚自律精神，防范資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性的安全事件，確保各會員公司資訊處理作業能安全有效地運作，特制定了《壽險業辦理資訊安全防護自律規范》，經理監事會決議通過報主管機關備查后施行；為確保提供壽險業具有一致性的計算機系統基本安全防護能力，通過各項資訊安全評估作業，發現資產安全威脅與弱點，藉以實施技術面與管理面相關控制措施，以改善并提升網絡與資訊系統安全防護能力，訂定了《壽險業辦理計算機系統資訊安全評估作業原則》；臺灣地區的人壽保險商業同業公會與產物保險商業同業公會為強化保險業的服務效能、提供消費者便利的投保服務并保障其權益，共同訂定了《保險業經營行動投保業務自律規范》，經各公會理監事會決議通過，報主管機關備查后施行。其壽險業資訊安全防護、壽險業辦理計算機系統資訊安全評估作業原則、保險業經營行動投保業務自律規范等方面的經驗，值得借鑒。

一、壽險業辦理資訊安全防護自律規范

資訊資產包含軟件、硬件、環境、文件、通訊、數據、人員等；行動裝置（Mobiledevice）亦稱為移動設備、流動裝置或手持裝置（handhelddevice）等，系指一種可攜帶的計算裝置。典型的行動裝置如智能型手機、移動電話、攜帶型游樂器與平板計算機、筆記型計算機等；員工攜帶自有設備上班BYOD（BringYourOwnDevice），是指公司政策允許員工可以在公司內使用自己的筆記本電腦、手機、平板等行動裝置來連接到公司網絡取用數據，或進行公務處理。臺灣地區的人壽保險商業同業公會，要求各會員公司辦理資訊安全規范，除依據該公司訂立的資產安全處理程序及其注意事項外，還應依《壽險業辦理資訊安全防護自律規范》辦理，具體要求如下：

（一）各會員公司辦理資訊安全規范，應至少遵循下列規定：延攬員工時，應依據相關法令、合約、產業文化及業務需求，了解該員工背景、學歷、經歷；應要求所聘任的員工簽署資訊安全保密承諾書、雇傭契約、工作手冊或相當文件，明訂員工應遵守資訊安全保密協議；有委外業務者，應于委外契約中明訂資訊安全保密協議；應通過定期、適當的教育訓練或倡導，告知內部員工應遵循的資訊安全規范；管理階層應督導員工遵循公司既定的資訊安全規范；員工職務異動時，應依既定程序辦理資訊資產退回與存取權限的變更或取消。

（二）各會員公司應訂定使用行動裝置（含BYOD）的相關規范，其內容應至少包含訂定行動裝置管理規范、行動裝置使用人員管理規范、使用行動裝置的安全控管規范等項目。

（三）各會員公司應訂定使用社群媒體相關規范，其內容應至少包含下列項目：訂定使用社群媒體管理與監督機制；若屬該公司的社群媒體者，應揭露相關資訊，至少包含公司名稱和主營業場所地址、通信聯絡方式等事項；制定申訴處理機制。

（四）各會員公司應訂定使用云端服務（含私有云）的相關規范，其內容應至少包含訂定云端服務安全管理規范、訂定云端服務提供者遴選機制、訂定云端服務持續營運管理規范等項目。

（五）各會員公司若有建置管理系統及有關個人資產的資產安全數據，應建立資產安全防御機制，并依據壽險業辦理計算機系統資訊安全評估作業原則辦理各項資訊安全評估作業，以改善并提升網絡與資訊系統安全防護能力。

（六）各會員公司應加強資訊安全事故管理，依資訊安全事件通報應變作業實施原則，若發生資訊安全事件時，應盡速回報公會及主管機關，并采取適當處理措施，以控制資產安全事件影響范圍的擴大。

（七）各會員公司應將該自律規范內容，納入內稽內控制度中，并定期辦理查核。如有違反該自律規范的情況，經查證屬實者且違反情節較輕者，先予書面糾正；如情節較重大者，報經公會理監事會通過后，處以新臺幣5萬元以上、20萬元以下的罰款；前述處理情形應于一個月內報主管機關。

二、壽險業辦理計算機系統資訊安全評估作業原則

《壽險業辦理計算機系統資訊安全評估作業原則》（以下簡稱“《作業原則》”）包括評估范圍、計算機系統分類及評估周期、資訊安全評估作業、資訊系統可靠性與安全性侵害的對策、社交工程演練、評估單位資格與責任、評估報告等方面的內容。

（一）評估范圍壽險業應就整體計算機系統（含自建與委外維運）依據《作業原則》建構一套評估計劃，基于持續營運及保障客戶權益，依資訊資產之重要性及影響程度進行分類，定期或分階段辦理資訊安全評估作業，并提交“計算機系統資訊安全評估報告”，辦理矯正預防措施，并定期追蹤檢討。評估計劃應報公司董（理）事會或經其授權的經理部門核定，外國保險業在臺分公司可授權由其在臺灣地區的負責人為之；評估計劃至少每三年重新審視一次。

（二）計算機系統分類及評估周期計算機系統依其重要性分為三類，如下表所示。單一系統且為數眾多、財產權歸屬于保險公司的設備應以抽測方式辦理，抽測比例每次至少應占該系統全部設備的10%或100臺以上。單一系統發生重大資訊安全事件，應于三個月內重新完成資訊安全評估作業。

（三）資訊安全評估作業資訊安全評估作業項目包括資訊架構檢視，網絡活動檢視，網絡設備、服務器等設備檢測，網站安全檢測，安全設定檢視，合規檢視。其中，資訊架構檢視，主要檢視網絡架構的配置、資訊設備安全管理規則的妥適性等，以評估可能的風險，采取必要應對措施；檢視單點故障最大沖擊與風險承擔能力；檢視對于持續營運所采取的相關措施的妥適性。網絡活動檢視，主要檢視網絡設備、服務器的存取紀錄及賬號權限、識別異常紀錄與確認警示機制；檢視資產安全設備（如防火墻、入侵偵測、防毒軟件、數據防護等）的監控紀錄，識別異常紀錄與確認警示機制；檢視網絡是否存在異常聯機或異常網域名稱解析服務器(DomainNameSystemServer,DNSServer)查詢，并比對是否有符合網絡惡意行為的特征。網絡設備、服務器等設備檢測，主要辦理網絡設備、服務器的弱點掃描與修補作業；檢測終端機及服務器是否存在惡意程序；檢測系統賬號登錄密碼復雜度；檢視外部連接密碼，如檔案傳輸（FileTransferProtocol,FTP）聯機、數據庫聯機等的儲存保護機制與存取控制。網站安全檢測，主要針對網站進行滲透測試；針對網站進行弱點掃描、程序原始碼掃描或黑箱測試；檢視網站目錄及網頁的存取權限；檢視系統是否有異常的授權聯機、CPU資源異常耗用及異常的數據庫存取行為等情況。安全設定檢視，主要檢視服務器（如網域服務ActiveDirectory）有關“密碼設定原則”與“賬號鎖定原則”設定；檢視防火墻是否開啟具有安全性風險的通信端口或非必要通信端口，聯機設定是否有安全性弱點；檢視系統存取限制(如存取控制清單AccessControlList)及特權賬號管理；檢視操作系統、防毒軟件、辦公軟件及應用軟件等之更新設定及更新狀態；檢視金鑰的儲存保護機制與存取控制。合規檢視，主要檢視整體計算機系統是否符合《作業原則》“資訊系統可靠性與安全性侵害之對策”的規范。第一類計算機系統應依前項辦理資訊安全評估作業，第二類及第三類計算機系統辦理資訊安全評估作業則依系統特性選擇前項必要的評估作業項目。

（四）應對資訊系統可靠性與安全性侵害的對策會員公司應就提升資訊系統可靠性研擬相關對策，其內容包括：提升硬設備的可靠性（含預防硬設備故障與備用硬設備設置的對策）；提升軟件系統的可靠性（含提升軟件開發質量與軟件維護質量對策）；提升營運可靠性的對策；故障的早期發現與早期復原對策；災變對策。會員公司應就資訊安全性侵害研擬相關對策，其內容包括：資料保護（含防止泄漏、防止破壞篡改與相對應檢測之對策）；防止非法使用（含存取權限確認、應用范圍限制、防止非法偽造、限制外部網路存取及偵測與因應之對策）；防止非法程序（含防御、偵測與復原對策）。

（五）社交工程演練每年應至少一次針對使用計算機系統人員，于安全監控范圍內，寄發演練郵件，加強資訊安全教育，以期防范惡意程序通過社交方式入侵。

（六）評估單位資格與責任評估單位可委托外部專業機構或由會員公司內部單位進行。如為外部專業機構，該機構應與資產安全評估標的無利害關系；若為內部單位，應獨立于原計算機系統開發與維護等相關單位。辦理第一類計算機系統資訊安全評估作業的評估單位應具備下列各款資格條件；辦理第二類及第三類計算機系統資訊安全評估作業者，依評估作業項目需要，具備下列相關資格條件之一：1.具備資訊安全管理知識，其資格應符合下列條件之一：通過島內外學術機構或團體所舉辦有關資訊安全管理知識考試并取得證書者；參加島內外學術機構或團體所舉辦有關資訊安全管理知識教育訓練達一定時數并取得教育訓練合格證明文件者；具相關工作經驗且于金融業工作達一定年資者。2.具備資訊安全技術能力，其資格應符合下列條件之一：通過島內外學術機構或團體所舉辦有關資訊安全技術能力考試并取得證書者；參加島內外學術機構或團體所舉辦有關資訊安全技術能力教育訓練達一定時數并取得教育訓練合格證明文件者；具相關工作經驗且于金融業工作達一定年資者。3.具備模擬黑客攻擊能力，其資格應符合下列條件之一：通過島內外學術機構或團體所舉辦有關模擬黑客攻擊能力考試并取得證書者；參加島內外學術機構或團體所舉辦有關模擬黑客攻擊能力教育訓練達一定時數并取得教育訓練合格證明文件者；具相關工作經驗且于金融業工作達一定年資者。4.熟悉金融領域載具應用、系統開發或稽核經驗。相關檢視文件、檢測紀錄文件、組態參數、程序原始碼、側錄封包數據等與評估作業相關的全部數據，評估單位應簽立保密承諾書并提供適當保護措施，以防止數據外泄。評估單位及人員不得有隱瞞缺失、不實陳述、泄露數據及不當利用等情形。

（七）評估報告“計算機系統資訊安全評估報告”內容至少包含評估人員資格、評估范圍、評估時所發現的缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果，且送稽核單位進行缺失改善事項之追蹤復查；該報告應并同缺失改善等相關文件至少保存五年。

三、保險業經營行動投保業務自律規范

行動投保業務，系指經客戶于保險公司所出具的書面文件（下稱“確認同意書”）確認同意通過業務員提供的含有觸控書寫功能的平板計算機、手機、筆記型計算機及個人計算機等電子設備（以下簡稱“行動裝置”）輸入客戶要保數據，以電子文件方式代替紙質要保書及相關文件，與保險公司締結保險契約的業務。臺灣地區的人壽保險商業同業公會與產物保險商業同業公會共同訂定了《保險業經營行動投保業務自律規范》，要求各會員辦理保險業經營行動投保業務，應遵守保險法、金融消費者保護法、個人數據保護法、保險業招攬及核保理賠辦法、保險業務員管理規則等相關規定。各會員公司應確認業務員所提供行動裝置的接口及尺寸，可清楚顯示電子文件內容，以供客戶確實了解相關資訊?！侗ｋU業經營行動投保業務自律規范》包括目的、行動投保業務定義、法令遵循宣示、辦理行動投保業務的業務員應符合的條件、辦理行動投保的控管作業程序、行動投保作業應遵循的步驟、行動投保作業應揭露資訊內容、資訊安全控管應遵循事項、歸檔資料的保存、客戶申訴及抱怨、保險犯罪通報、納入內稽內控、罰則等，其具體內容如下所述：

（一）辦理行動投保業務的業務員應符合的條件各會員辦理該業務的業務員應符合下列條件：須為現行有效登錄于所屬公司的業務員，如招攬的保險商品屬應通過特別測驗始得招攬者，還應通過該項測驗合格；應參加所屬公司辦理與該業務有關的教育訓練，并經測驗合格。業務員如有離職、取消登錄或喪失招攬資格情形時，所屬公司應立即停止其使用該業務行動裝置的資格及登錄權限。各會員辦理上述教育訓練及測驗，應留存相關記錄以資驗證。

（二）辦理行動投保的控管作業程序各會員辦理該業務，應訂定內部控制作業處理程序，內容應至少包括作業流程、行政控管機制、系統控管機制等內容，以作為辦理該業務的準據。

（三）行動投保作業應遵循的步驟各會員辦理該業務的作業，應遵循下列事項：業務員須使用所屬公司配給的賬號及密碼，始得登錄行動裝置的操作系統；登錄后應于行動裝置上，完成客戶要保相關數據的輸入；由客戶瀏覽并確認要保相關數據輸入內容后，于行動裝置上親自簽名，并由客戶另于確認同意書上簽名，以確認客戶確有通過行動裝置投保的意思；應設置確認同意書與要保資料勾稽的控管流程；業務員招攬過程須請要保人、被保險人提供足以辨識其身份之證明文件，并與要保書填載內容核對無誤后于業務員報告書聲明確認。如屬有約定續保條款且保險金額未異動、降低或縮減承保范圍的續保件，或一年期傷害保險及健康保險于到期前完成續保且保險金額未異動、降低或縮減承保范圍的續保件者，可以客戶最初投保簽具的確認同意書作為客戶確有通過行動裝置續保的意思證明。

（四）行動投保作業應揭露資訊內容各會員辦理該業務，應依規定及投保險種的不同，于行動投保頁面提供相關文件（如同意行動投保聲明事項、履行個人數據保護法告知義務內容、投保須知、要保填寫內容、傳統型個人人壽保險契約審閱期間確認聲明書及顧客適合性鑒別暨建議書目錄摘要表等）供保戶檢視或同意，確認輸入的內容無誤。應提供的相關文件如未于行動投保頁面呈現者，應另行提供紙質文本。

（五）資訊安全控管應遵循事項各會員辦理該業務的資訊安全控管應遵循下列事項：對于業務員登錄行動裝置操作系統的身份認證安全控管，應依設定密碼的安全控管作業進行密碼設定與身份驗證；辦理該業務輸入的要保數據，均應以加密方式儲存，并須以賬戶及密碼登錄后，始能查閱相關內容；不得將客戶個人數據儲存于行動裝置，如因聯機問題無法實時回傳系統時，應將已輸入數據文件以AES加密或相當等級以上的加密方式暫存于行動裝置至多24小時，并不得以任何方式轉存，逾時將自動刪除或封鎖，以確保資訊安全；已簽署的要保數據傳輸至主機系統時，系統應即同步刪除行動裝置留存的要保數據；業務員登錄密碼應定期更換，頻率不得高于90天，逾期未變更者，各會員應暫停其系統登錄的權限，以避免盜用的情形；明訂業務員遺失行動裝置的標準通報流程以及接獲通報后的標準處理作業流程；建立備援機制相關規范；定期檢視該業務相關資訊系統的安全性及資訊安全控管制度的有效性，并依檢視結果，實行必要的矯正與預防措施。

（六）歸檔資料的保存各會員對于辦理該業務已歸檔儲存的電子要保書等相關數據，其保存期限不得低于契約期滿或通知要保人不同意承保后五年。

（七）客戶申訴及抱怨各會員應設置免費服務專線處理客戶因該業務引發的申訴與抱怨，對客戶的申訴與抱怨應積極進行處理，并迅速給予妥適響應。

（八）保險犯罪通報各會員辦理該業務，若發現有疑似保險犯罪情形，應通報有關機關。

（九）納入內稽內控各會員辦理該業務，應將自律規范內容納入內部控制及內部稽核項目，并依據“保險業內部控制及稽核制度實施辦法”相關規定辦理。違反該自律規范，經查核屬實者，可經所屬公會理監事會決議后視情節輕重予以糾正，或處以新臺幣20萬元以上60萬元以下的罰款，并呈報主管機關。各會員所屬公會未依前項規定申報或處理者，主管機關應作必要的處置。各會員的業務員（含電話營銷人員）或業務主管有違反該自律規范的情形者，其所屬公司應依據“保險業務員管理規則”及“保險業招攬及核保理賠辦法”相關規定予以懲處，并函報所屬公會備查。

四、結束語

2015年7月16日，我國首個金融資訊行業協會上海金融資訊行業協會成立，該協會將與政府部門、相關行業協會、金融機構一起，共同推進互聯網金融行業規范有序的發展。金融資訊的行業概念要遠早于互聯網金融，在“互聯網+”時代，在IT資訊行業和金融行業不斷進行產業融合的當下，其內涵和外延都得到了不斷的豐富和發展。金融資訊行業協會的成立有助于推動P2P平臺加強資訊披露，提升行業透明度，保護投資人利益。2015年7月18日，《關于促進互聯網金融健康發展的指導意見》對外，明確提出互聯網金融的主要業態包括互聯網支付、互聯網保險和互聯網消費金融等。在政策環境向好的大形勢下，“互聯網+金融”熱極一時，但互聯網金融行業的異軍突起也給了投機分子可乘之機。“互聯網+金融”在進入快車道的同時，平臺漏洞、系統漏洞亦如影隨形。建議借鑒前述我國臺灣地區保險業資訊安全防護方面的已有經驗，并采取相關措施抵御風險。

作者：鄭曉玲 朱栩 單位：海南經貿職業技術學院 江泰保險經紀股份有限公司?？诜止?/p>