中文

Powertime共享课堂 | 如何确定组织的网络安全目标与保护对象?

文章发布日期:2020-08-13

前言:案例介绍

王少安是720度保险经纪股份有限公司(“720度公司”)的信息安全经理,全面负责720度公司的网络安全工作。公司主要业务是为个人和企业客户提供保险咨询、投保和理赔等一站式保险服务,为客户提供近百家保险公司的2000多种保险产品选择。公司自主研发的“720度一站式保险服务平台”全面实现了无接触线上服务,覆盖了客户保险需求分析、保险产品比较、投保以及理赔等所有流程。

720度公司设置了寿险部、团财险部、客服部、业务管理部、研究发展部、IT支援中心、市场营销部、法务部、合规部、计划财务部、行政人事部等职能部门,组织架构如下图。
image.png
 IT支援中心承担公司网络安全和信息化职能,下设研发部、运维部和网络安全部。研发部负责“720度一站式保险服务平台”的升级迭代;运维部负责平台运维和用户支持;网络安全部负责公司安全建设、运维和应急。

公司业务系统“720度一站式保险服务平台”部署在公司采购的公有云“银河云”上,公司业务人员和客户可以通过桌面终端浏览器、移动端APP访问平台完成相关保险方案规划、投保和理赔等业务操作。系统拓扑图如下:
image.png
image.png


Q1:如何确定组织的网络安全目标?
01


识别法规和行业要求
第一步,我们要从识别法规和行业要求入手,可以称它为合规目标。结合该公司的所在地区、行业等,我们可以从以下五个方面展开:

  1. 中华人民共和国网络安全法
  2. 银保监会行业要求
  3. 在线支付行业要求
  4. 供应链要求(合作伙伴要求)
  5. 隐私保护要求
  6. 强制国家标准要求

1597302264331470.png
《网络安全法》中关于合规的要求:

  • 根据第二十一条,该企业应建立和实施等级保护制度,完成定级、备案、建设、整改、等保测评等工作。

  • 根据第二十五条,该企业应该制定网络安全事件应急预案。

  • 根据第四十条,该企业应该建立用户信息保护制度。

  • 根据第四十七条,该企业应该确保应用系统能够有效管理用户发布信息。


《互联网保险业务监管暂行办法》合规要求:

  • 具有支持互联网保险业务运营的信息管理系统,实现与保险机构核心业务系统的无缝实时对接,并确保与保险机构内部其他应用系统的有效隔离,避免信息安全风险在保险机构内外部传递与蔓延。

  • 具有完善的防火墙、入侵检测、数据加密以及灾难恢复等互联网信息安全管理体系;

  • 具有互联网行业主管部门颁发的许可证或者在互联网行业主管部门完成网站备案,且网站接入地在中华人民共和国境内;

  • 具有专门的互联网保险业务管理部门,并配备相应的专业人员;

  • 具有健全的互联网保险业务管理制度和操作规程。


02



720度业务连续性要求
1597302286316179.png
建立720度公司的网络安全目标,要从业务连续性考虑,网络安全的一个重要的工作就是要保障720度公司的业务不中断。保障业务不中断,就要保障系统不中断,因为业务是跑在这个系统上,或者说业务依赖于这个IT系统。若720度一站式保险服务平台,是开放给投保人,随时随地只要连接网,它就可以完成投保业务,那么他的业务连续性要求目标就应该是7×24小时。若是公司的内网,比如OA系统,就可实行一周5天,一天8小时工作制。其他:事件的应急响应,灾备与恢复,都是业务连续性的要求。

03


数据安全要求
确定组织网络安全目标的第三步是要考虑数据安全要求。在上一次课程中提到,网络安全的一个重要的工作是保护信息数据,所以你的核心业务数据,你的公司的内网数据,比如说敏感数据,以及可以对外公开的信息和数据,年度商业秘密数据泄露事故不超过1次;对外公开信息差错不超过2次。泄露的数据量,在《网络安全法》里有规定根据泄露的数据量不同,量刑也不同。
image.png
Q2:如何识别组织的网络安全保护对象?
01



识别IT基础设施
网络:网络设施、网络设备、路由器、交换机甚至是你的一个网络的信息点都是保护对象。
服务器:无论是在云端的虚拟主机,还是在公司内部的实体的物理服务器,都是我们要保护的重点保护的对象。
存储:我们的存储是我们数据的载体,720度公司的核心业务数据,收集的个人信息,全部在存储设备上与银河云上的存储服务,也有在公司内部的实体服务器上存储。
安全设备:防火墙、堡垒机、入侵检测系统等等这些安全设备,也是你的保护对象。
终端:我们接入系统的手机、PAD等等这些终端……

02


识别应用系统
第二步要识别应用系统。做过等保的同学们都非常熟悉,等保的一个重要的工作就是要对系统定级,要识别你有几个系统,所以少安同学的一个任务就是要把720度公司的应用系统识别出来,比如说720度一站式保险服务平台就是一个最重要最核心的系统,还有它内网的OA系统、web、 APP以及其他的一些应用系统……

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部