自保公司网络安全管理策略研究与实践

发布时间: 2024-02-22 10:18:14

作者: 贝博平台体育app官网

  近年来，网络安全局势日益紧张，自保公司作为保险业的重要组成部分，面临的网络安全压力和资源投入存在较大矛盾。基于此，文章对自保公司网络安全管理策略展开研究，并以广东能源自保网络安全管理实践为例，归纳总结自保公司的网络安全管理策略类型。

  国际局势日趋复杂，网络霸权主义对世界和平与发展构成了严重威胁，互联网空间安全面临的形势复杂多变。互联网空间对抗趋势更突出，大规模针对性网络攻击行为增加，基础软硬件重大安全漏洞、数据泄露、勒索病毒攻击等网络安全风险持续增加。世界主要国家和地区不断推出与网络安全、数据安全、关键信息基础设施保护、个人隐私信息保护等相关的法律和法规，网络安全监管日趋严格。

  金融业是国家经济的命脉与核心，其网络安全在国家安全工作中举足轻重。保险业作为金融业的重要组成部分，又属于数据密集型行业，信息化和数字技术应用广泛，其所面临的网络安全风险问题尤为需要我们来关注。近年来，保险业网络与信息系统日趋复杂，网络暴露面增大、攻击路径增多，网络安全管控难度加大。自保业务作为国内保险业中新兴而又特殊的存在，正处在蓬勃发展阶段，自保公司所面临的网络安全压力和资源投入存在较大矛盾，需要予以重视并解决。

  自保业务作为保险业的重要组成部分，在国际上发展较快，全球已有近7 000家自保公司，保费收入占全球财产险保费收入的10%。2013-2017年间，我国自保行业实现了起步和发展，中石油专属财产保险股份有限公司、中国铁路财产保险自保公司、中远海运财产保险自保公司和广东能源财产保险自保公司于（以下简称“广东能源自保公司”）相继在境内成立。加上在中国香港成立的中海油、中石化、中广核和上海电气4家自保公司，目前国内共有8家自保公司。国内各自保公司的母公司业务涉及石油化学工业、铁路运输、航运、电力能源、装备制造等多个国家基础产业领域。

  自保公司为发挥低成本的优势，支持保险集中管理，大多实行轻量化精干运行模式，组织架构扁平化。其面临以下几方面挑战。一是监管压力大。目前，我国自保行业处在发展阶段，自保行业监督管理仍参照商业保险监管制度，自保公司所面临的监管压力较大。二是网络安全风险高。自保公司母公司涉及国家基础产业领域，面临大规模针对性网络攻击的风险高、重要时期网络安全保障压力重。三是资源有限。受业务规模影响，自保公司信息科技和网络安全资源投入有限，自保公司所面临的网络安全压力与资源投入存在较大矛盾。在这样的背景下，如何高效地建设网络安全防护体系，并满足网络安全保障和网络安全监督管理要求，成为自保公司网络安全管理亟待解决的问题。

  坚持党对网络安全工作的统一领导，将网络安全纳入重点工作规划和重要议事日程，形成党组织领导、多方参与、多种手段相结合的网络安全综合治理格局。

  落实国家《网络安全法》《数据安全法》等法律和法规要求，坚持网络安全“三同步”，落实网络安全主体责任与监督管理责任，坚持网络安全底线. 统筹规划，深化协同

  加强网络安全顶层设计，按照集团公司（自保公司母公司）网络安全规划，统筹推进网络安全态势感知、协同联动、应急处置等能力建设，深化上下协同、资源共享，融入集团网络安全防护体系。

  坚持自主创新、安全可控，依靠集团公司力量，加速推动核心信息系统自主可控，加快安全可控产品的推广应用。

  以安全技术体系为支撑，以安全运营和安全管理为保障，构建“自主管控、联防联控”的网络安全整体防护格局，推动网络安全防护从“静态布防、边界监视”向“实时管控、纵深防御”转变发展方式与经济转型，深化上下协同和资源共享，构建网络安全全方位、多层次的纵深防御体系。网络安全架构如图1所示。

  自保公司应按照《党委（党组）网络安全工作责任制实施办法》要求，由公司党组织对网络安全工作负主体责任，党组织书记作为网络安全第一责任人，分管网络安全工作的领导作为网络安全直接责任人。同时，设立网络安全工作领导小组，成员包含高级管理人员和有关部门负责人，全面统筹协调网络安全工作。

  自保公司应建立涵盖网络与信息安全管理、连续性管理、数据安全管理、网络安全风险监测、供应链管理、信息科技审计管理、网络安全相关操作规范、网络安全应急处置管理及应急预案等的网络安全管理制度体系。

  自保公司只服务集团主业，天生具有背靠集团的特色优势。以广东能源自保公司为例，该公司通过将网络流量、安全日志、终端威胁信息等IT资产数据接入集团网络安全态势感知平台，以达到以下目标。一是整合集团网络安全资源，合理规划利用集团已建设的网络安全态势感知平台对公司的网络安全状况做集中统一监控，丰富网络安全技术管理手段，提升网络安全管理上的水准。二是通过态势感知平台的互联网网络安全威胁情报与本地采集数据能力，对设备资源进行实时监控，有效防范恶意代码和网络攻击威胁，快速定位网络安全风险隐患，并全链条进行追踪溯源。三是依据态势感知平台提供的多种问题通报手段和告警方式，及时获知网络安全威胁告警信息并快速响应。对于较大的网络安全威胁，也可协调集团公司资源，及时组织各方力量进行快速联动响应和协同处置，实际做到全集团联防联控。四是态势感知平台及其子系统可以直观的呈现出全局网络安全的变化趋势，定制网络安全大数据分析，从多个视角呈现网络安全有关数据，实现安全问题可视化、安全分析可视化。

  广东能源自保公司通过融入集团网络安全防护体系、协调集团网络安全资源，降低了公司网络安全防护成本，构建了“公司自主管控、集团联防联控”的网络安全整体防护格局，实现了网络安全防护从“静态布防、边界监视”向“实时管控、纵深防御”的转型升级。

  自保公司组织架构扁平、人员精简，网络安全技术力量相对薄弱。针对这一点，可通过聘请网络安全专业机构开展网络安全检查、渗透测试、应急保障、技能培训等项目，快速提升自保公司的网络安全保障能力。

  广东能源自保公司通过聘请网络安全专业机构开展信息系统安全检查、渗透测试、安全加固整改、网络安全等级保护测评、新系统上线前安全评估、重要时期网络安全保障、应急响应、安全咨询和网络安全技能培训等项目，借助网络安全专业机构的技术力量，全面查找网络安全风险隐患，降低网络安全风险，提升公司信息系统的安全性，快速提升公司网络安全防护和威胁处置能力，在有限的成本条件下，补齐了自保公司网络安全技术力量的短板。

  我国保险机构风险管理三道防线基本参考了美国反欺诈财务报告委员会（COSO）颁布的企业风险管理框架（ERM）所规定的三道防线的概念，即业务部门为第一道防线，风险管理部门为第二道防线，审计部门为第三道防线。

  自保公司网络安全风险可结合保险机构风险管理三道防线来管理，即由网络安全业务部门和信息系统用户部门作为第一道防线，网络安全业务部门直接承担网络安全风险管理；由风险管理或合规部门作为第二道防线，督促网络安全风险管理中每个流程环节的落实，风险管理或合规部门并非要精通网络安全专业，其职能更多的是体现在组织、协调、支持和配合方面，帮助业务部门管控好网络安全风险；由独立于信息技术部门的审计部门作为第三道防线，负责网络安全风险的评估与审计，通过定期开展信息系统运维审计、系统开发审计和网络安全审计等，防范和化解网络安全操作风险和道德风险。

  没有网络安全就没有国家安全，就没有经济社会的稳定运行，广大人民群众的利益也难以得到保障。保险业自保业务作为金融业的重要组成部分，面临的网络安全压力大，自保公司更应该发挥自身背靠集团的天然优势，积极融入集团统一网络安全防护体系，结合保险业风险管理经验，探索出适合自保公司发展的网络安全管理策略。

  传统订阅：①征订单下载→②填写征订单→③转账汇款→④把征订单及汇款凭证邮件至→⑤电话确认，完成订阅。线上订阅：

  平台声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。