![点击分享此内容可以赚币 分享](/master/images/share_but.png)
JR∕T 0058-2010 保险信息安全风险评估指标体系规范(金融).pdf
《JR∕T 0058-2010 保险信息安全风险评估指标体系规范(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0058-2010 保险信息安全风险评估指标体系规范(金融).pdf(42页珍藏版)》请在咨信网上搜索。
1、 JR/T ICS 备案号: JR中 华 人 民 共 和 国 金 融 行 业 标 准保险信息安全风险评估指标体系规范 Insurance Information security risk evaluation Indicators standard (报批稿) -发布 -实施中国保险监督管理委员会 发布 JR/T II 目 次 目 次 前 言 . IV 引 言 . V 保险行业信息安全风险评估指标体系 . 1 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 信息安全风险评估概述 . 2 4.1 信息安全风险评估的工作形式 . 2 4.2 信息安全风险评估实施 . 2
2、 4.2.1 确定目标 . 2 4.2.2 获得支持 . 2 4.2.3 组建团队 . 2 4.2.4 现状调研 . 2 4.2.5 确定依据和方法 . 3 4.2.6 制定方案 . 3 4.2.7 评估实施 . 3 4.2.8 风险结果判定及处置计划 . 3 4.3 信息安全风险保护能力级别 . 3 4.4 信息安全风险评估指标 . 4 5 信息安全风险评估指标体系 . 5 5.1 管理指标 . 5 5.1.1 安全管理制度 . 5 5.1.2 安全管理机构 . 7 5.1.3 人员安全管理 . 9 5.1.4 系统建设管理 . 11 5.1.5 系统运维管理 . 14 5.2 技术指标 .
3、 22 5.2.1 物理安全 . 22 5.2.2 网络安全 . 23 5.2.3 主机系统安全 . 26 5.2.4 应用安全 . 27 5.2.5 数据安全 . 29 参考文献 . 30 JR/T III 附 录 A . 31 (规范性附录) . 31 保险信息安全风险评估指标体系框架 . 31 附 录 B . 32 (规范性附录) . 32 保险信息安全风险评估指标体系的分级原则 . 32 附 录 C . 34 (资料性附录) . 34 保险信息安全风险评估指标体系控制域 . 34 C.1 安全管理控制域设计 . 34 C.1.1 安全管理制度 . 34 C.1.2 安全管理机构 . 3
4、4 C.1.3 人员安全管理 . 34 C.1.4 系统建设管理 . 35 C.1.5 系统运维管理 . 35 C.2 安全技术控制域设计 . 35 C.2.1 主机系统安全 . 35 C.2.2 物理安全 . 35 C.2.3 网络安全 . 35 C.2.4 应用安全 . 35 C.2.5 数据安全 . 35 JR/T IV 前 言 本标准的附录 A 和附录 B 为规范性附录。 本标准的附录 C 为资料性附录。 本标准由全国金融标准化技术委员会保险分技术委员会提出。 本标准由中国保险监督管理委员会和全国金融标准化技术委员会批准。 本标准由全国金融标准化技术委员会保险分技术委员会归口管理。 本
5、标准起草单位: 中国保险监督管理委员会统计信息部、 中国科学院研究生院计算与通信工程学院 本标准主要起草人:吴晓军、于玫、李春亮、李伟华、朱培标、石一飞、王晓鹏、崔秀、潘辛平、王颖、张宁、丘山、龚华勇、贾嘉、张琳璟 JR/T V 引 言 保险信息系统是国家重要信息系统之一, 信息安全问题关系保险业发展全局, 也关系到社会经济的稳定。定义一套行之有效的信息安全风险评估方法,建立风险评估指标体系,确立有效的评估和监管机制具有重大的现实意义。 本标准在 信息安全技术信息系统安全等级保护基本要求 、 GB/T 20269-2006 信息安全技术 信息系统安全管理要求、GB/T 19716-2005 信
6、息技术 信息安全管理实用规则 、 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 、 GB/T 20984-2007 信息安全技术 信息安全风险评估规范等标准的基础上,根据保险行业现有技术的发展水平,提出了保险行业信息安全风险评估的方法,规定了不同信息安全风险保护能力的具体评估指标, 即信息安全风险保护能力指标。 信息安全风险保护能力指标包括技术指标和管理指标。 本标准适用于指导保险行业不同信息安全风险保护能力下的安全建设和监督管理,指引保险企业在适度投入的情况下逐步提升整体信息安全保护能力。 JR/T 1 保险行业信息安全风险评估指标体系 1 范围 本标准规定了不同信
7、息安全风险保护能力级别的安全保护能力指标, 包括技术指标和管理指标, 适用于指导不同能力级别组织的安全建设和监督管理。 2 规范性引用文件 下列文件中的条款通过在本标准的引用而成为本标准的条款。 凡是注日期的引用文件, 其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术 词汇 第8部分:安全 GB/T GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 安全
8、保护能力 security protection ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 3.2 信息安全风险评估 information security risk assessment 依据有关信息安全技术与管理标准, 对由信息系统及由其处理、 传输和存储的信息等构成的被评估对象的安全特性进行评价的过程。 3.3 自评估 self-assessment 由组织自身发起,依据国家有关法规与标准,对信息及其管理进行的风险评估活动。 3.4 检查评估 inspection assessment 由被评估组织的上级主管机关或业务主管机关发起的,
9、 依据国家有关法规和标准, 对信息及其管理进行的具有强制性的检查活动。 3.5 组织 organization 由作用不同的客体为实施共同的业务目标而建立的结构。 3.6 业务战略 business strategy 组织为实现其发展目标而制定的一组规则或要求。 3.7 恢复时间目标 recovery time objective RTO JR/T 2 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 3.8 恢复点目标 recovery point objective RPO 灾难发生后,系统和数据必须恢复到的时间点要求。 4 信息安全风险评估概述 4.1 信息安全风险评估的工作形
10、式 信息安全风险评估分为自评估和检查评估两种形式。 自评估是指信息拥有、 运营或使用的组织发起的对本组织进行的风险评估。 自评估应在本标准的指导下,结合组织信息安全现状及安全要求进行实施。周期性进行的自评估可以在评估流程上适当简化,重点针对自上次评估后组织状态变更引入的新风险。 但当组织发生重大变更时, 应依据本标准进行完整的评估。 检查评估是指上级管理部门组织的或国家有关职能部门依法开展的风险评估。 检查评估依据本标准对应的测评标准,实施相应的风险评估过程。 检查评估可在自评估的基础上,对关键环节或重点内容实施抽样评估。 4.2 信息安全风险评估实施 信息安全风险评估应包含如下内容: a)
11、确定信息安全风险评估的目标; b) 获得决策层对信息安全风险评估工作的支持; c) 组建适当的信息安全风险评估管理与实施团队; d) 进行现状调研; e) 确定信息安全风险评估依据和方法; f) 制定信息安全风险评估方案; g) 信息安全风险评估方案的实施; h) 风险结果判定及风险处置计划。 4.2.1 确定目标 根据满足组织业务持续发展在安全方面的需要、 法律法规的规定等内容, 识别出针对信息安全风险评估的长期目标及短期工作要求。 4.2.2 获得支持 信息安全风险评估工作应得到组织决策层的支持和批准, 保证资源, 并对管理层和技术人员进行传达,在组织范围内就信息安全风险评估相关内容进行培
12、训。 4.2.3 组建团队 信息安全风险评估团队,由管理层、相关业务骨干、信息技术等人员组成。必要时,可组建由评估方、 被评估方领导和相关部门负责人参加的信息安全风险评估领导小组, 聘请相关专业的技术专家和技术骨干组成专家小组。 4.2.4 现状调研 JR/T 3 现状调研是通过特定的工作方法, 对被评估对象进行全面了解的过程, 信息安全风险评估团队应进行充分的现状调研,为信息安全风险评估依据和方法的选择、评估方案的制定奠定基础。现状调研至少应包括: a) 业务战略及管理制度; b) 主要的业务功能和要求; c) 网络结构与网络环境,包括内部链接和外部链接; d) 系统边界; e) 主要的硬件
13、和软件; f) 数据和信息; g) 系统和数据的敏感性; h) 支持和使用系统的人员; i) 其他。 现状调研工作方法可以采取问卷调查及现场面谈相结合的方式。 问卷调查是提供一套关于管理或操作控制的问题表格,供技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集相应信息。 4.2.5 确定依据和方法 根据现状调研的结果,确定信息安全风险评估的依据和评估方法,信息安全风险评估依据包括(但不限于): a) 现行国际标准、国家标准和行业标准; b) 行业主管机关的业务系统的要求和制度; c) 信息安全风险保护能力级别及对应指标; d) 信息系统自身的安全要求; e) 互联单位的安全要求等。 根
14、据信息安全风险评估依据,应综合考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法。 4.2.6 制定方案 信息安全风险评估方案的目的是为后续的风险评估实施提供一个总体计划, 用于指导后续工作的开展。信息安全风险评估方案的内容一般包括团队组织、工作计划、工作内容、工作形式和工作成果等内容。 4.2.7 评估实施 根据信息安全风险评估方案,实施相关培训,明确相关人员在风险评估工作中的任务,依据工作计划实施信息安全风险评估工作。 4.2.8 风险结果判定及处置计划 为实现对风险的控制及管理,可以对信息安全风险评估的结果进行等级化处理,等级越高,风险越高。 组织应综合考虑风险控制
15、成本与风险造成的影响, 制定风险处置计划。 风险处置计划中应明确采取的安全措施、预期效果、实施条件、进度安排和责任部门等。安全措施的选择与实施应参照信息安全风险保护能力指标。 4.3 信息安全风险保护能力级别 JR/T 4 信息安全风险保护能力级别说明如表 1 所示: 表 1 信息安全风险保护能力级别与能力对应表 能力能力级别 级别 抵御威胁的能力 抵御威胁的能力 发现安全事件的发现安全事件的能力 能力 遭受损害后的遭受损害后的恢复能力 恢复能力 体系化的防护能力 体系化的防护能力 1 抵御来自个人的、拥有很少资源的威胁源发起的威胁以及一般的自然灾难 不做要求 系统遭到损害后,能够恢复部分功能
16、 具备常用的安全管理制度和流程,拥有少量人力和资金投入。 2 抵御来自个人的、拥有很少资源的威胁源发起的威胁以及一般的自然灾难 不做要求 能够在一段时间内恢复部分功能 具备常用的安全管理制度和流程,拥有少量人力和资金投入。 3 抵御来自个人的、拥有很少资源的威胁源发起的威胁以及一般的自然灾难 不做要求 能够迅速恢复部分功能 具备常用的安全管理制度和流程,拥有少量人力和资金投入。 4 抵御来自外部小型组织的、拥有少量资源的威胁源发起的威胁以及一般的自然灾难 能够发现重要的安全漏洞和安全事件 系统遭到损害后,能够恢复绝大部分功能 在重要管理内容具备统一安全策略,能有组织的协调安全保障体系正常运转,
17、拥有一定的人力和资金投入。 5 抵御来自外部小型组织的、拥有少量资源的威胁源发起的威胁以及一般的自然灾难 能够发现重要的安全漏洞和安全事件 能够在一段时间内恢复绝大部分功能 在重要管理内容具备统一安全策略,能有组织的协调安全保障体系正常运转,拥有一定的人力和资金投入。 6 抵御来自外部小型组织的、拥有少量资源的威胁源发起的威胁以及一般的自然灾难 能够发现重要的安全漏洞和安全事件 能够迅速恢复绝大部分功能 在重要管理内容具备统一安全策略,能有组织的协调安全保障体系正常运转,拥有一定的人力和资金投入。 7 抵御来自外部有组织的团体、拥有较为丰富资源的威胁源发起的威胁以及较为严重的自然灾难 能够发现
18、安全漏洞和安全事件 系统遭到损害后,能够恢复所有功能 具备统一安全策略,能有组织的协调安全保障体系正常运转,拥有足够的人力和资金投入。 8 抵御来自外部有组织的团体、拥有较为丰富资源的威胁源发起的威胁以及较为严重的自然灾难 能够发现安全漏洞和安全事件 能够在一段时间内恢复所有功能 具备统一安全策略,能有组织的协调安全保障体系正常运转,拥有足够的人力和资金投入。 9 抵御来自外部有组织的团体、拥有较为丰富资源的威胁源发起的威胁以及较为严重的自然灾难 能够发现安全漏洞和安全事件 能够迅速恢复所有功能 具备统一安全策略,能有组织的协调安全保障体系正常运转,拥有足够的人力和资金投入。 信息安全风险保护
19、能力作为信息安全风险评估的依据, 保险行业企业应根据自身业务持续发展在安全方面的需要, 选择合适的信息安全风险保护能力级别。 不同的信息安全风险保护能力级别对应着不同的信息安全风险评估指标集合,级别越高,对应的指标数量越多。 4.4 信息安全风险评估指标 根据实现方式的不同, 信息安全风险评估指标分为技术指标和管理指标两大类。 技术指标与信息系JR/T 5 统提供的技术安全机制有关, 主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现; 管理指标与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。 技术指标和管理指标是确
20、保信息安全风险科学评估的不可分割的两个部分。 技术指标包含五个方面,分别为物理安全、网络安全、主机安全、应用安全和数据安全。管理指标包含五个方面,分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。 每个方面包含多个安全要素,安全要素是指,为实现信息安全风险保护能力所规定的安全要求,从管理和技术角度应采取的主要控制方法和措施。 安全要素作为描述安全风险保护能力的基本组件, 每个安全要素从不同角度描述了该方面的安全风险保护能力要求。 信息安全风险评估指标则归类到各个安全要素之中。 信息安全风险评估指标进一步细分为关键能力指标和一般能力指标。 关键能力指标为达成特定保护能力
21、级别的判别性指标,一般能力指标为达成该保护能力级别的辅助性指标。 关键能力指标的满足度决定了所能达到的信息安全风险保护能力级别, 一般能力指标的满足度会影响该信息安全风险保护能力级别下能力高低的评定。 本标准中对信息安全风险保护能力指标进行了标记。数字“1”至“9”分别表示该指标对应的信息安全风险保护能力级别。“K”表示该指标为关键能力指标,未标识“K”则表示该指标为一般能力指标。标记位置为每条指标的末尾。 5 信息安全风险评估指标体系 5.1 管理指标 5.1.1 安全管理制度 5.1.1.1 管理制度 本要素具体包括如下指标: a) 应建立日常管理活动中常用的安全管理制度,包括安全组织的设
22、立、人员的安全管理,系统建设及运维相关安全管理制度等;(1K) b) 安全管理制度应覆盖物理、网络、主机系统、数据、应用等层面;(1K) c) 对于涉及国家安全的组织,应根据国家要求建立保密制度;(1K) d) 应制定指导信息安全工作的总体安全策略,说明机构安全工作的总体目标、范围、责任、原则和安全框架等;(4K) e) 应识别出安全管理活动中的重要管理内容, 并对安全管理活动中重要的管理内容建立安全管理制度;(4K) f) 应识别出安全管理活动中的重要管理操作, 并对安全管理人员或操作人员执行的重要管理操作建立操作规程;(4K) g) 应定期评估已识别的重要管理内容及操作;(5) h) 应建
23、立识别重要管理内容及操作的流程;(6K) i) 应对安全管理活动中的各类管理内容建立安全管理制度;(7) j) 应对管理人员或操作人员执行的日常管理操作建立操作规程;(7) JR/T 6 k) 应形成由指导信息安全工作的安全策略、 支撑安全策略实现的各项安全管理规定以及操作规程等构成的全面的信息安全管理制度体系。(7K) 5.1.1.2 制定和发布 本要素具体包括如下指标: a) 应指定或授权专门的部门负责安全管理制度的制定,具体工作应落实到岗位;(1K) b) 应指定或授权专门的部门负责安全管理制度的发布,并指定人员负责该制度的解释工作; (1) c) 应将安全管理制度以某种方式发布到相关人
24、员手中;(1K) d) 安全管理制度应由管理层批准后,通过正式和有效的途径发布;(2K) e) 应对发布进行检查,确保安全管理制度及时有效的发布到相关人员手中;(3) f) 应建立安全管理制度样式,保证安全管理制度具有统一的格式;(4K) g) 应组织相关人员对制定的安全管理制度进行论证和审定;(5K) h) 应建立正式的安全管理制度制定及发布流程,规范制度的制定和发布过程;(6K) i) 应建立正式的论证和审定安全管理制度的方法;(6) j) 应建立安全管理制度的版本控制方法,并进行版本控制;(7K) k) 安全管理制度应注明发布范围,并对收发文进行登记;(7K) l) 应识别出涉及企业机密
25、的安全管理制度,限定发布范围;(8) m) 应形成文档统一指导安全管理制度制定和发布工作;(8K) n) 应在安全管理制度发布前分析其是否应纳入公司密级管理范围,对于有密级的安全管理制度,应注明安全管理制度密级,并进行相应的密级管理。(9K) 5.1.1.3 存档和维护 本要素具体包括如下指标: a) 应指定或授权部门负责安全管理制度的存档和维护,具体工作应落实到岗位;(1K) b) 应建立安全管理制度清单;(2K) c) 应形成并实施安全管理制度存档的安全要求,避免文件被意外毁损;(3) d) 针对涉及组织机密信息的制度的发放和传阅应限定范围, 经过相应级别负责人审批, 并进行登记;(4K)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0058-2010 保险信息安全风险评估指标体系规范金融 JR 0058 2010 保险 信息 安全 风险 评估 指标体系 规范 金融
![提示](https://www.zixin.com.cn/images/bang_tan.gif)
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。