中国人寿((601628行情,股吧))保险股份有限公司

　　信息技术部总经理 阮琦

　　作为一家保险公司，中国人寿在为公众提供保险服务的同时也必须关注自身信息系统的“保险”问题，即建立健全而规范的信息安全保障体系。凭借扎实的工作和不懈的努力，包括信息安全管控在内的中国人寿内控工作于2007年顺利通过了美国风险控制“重典”萨班斯法案的首年审计，充分体现出公司安全管理合规性和信息安全内控力度已经与国际全面接轨，公司的国际竞争能力已在“建设国际顶级金融保险集团”和“打造国际顶级IT能力”的进程中提升到新的高度。目前，中国人寿已经建立起包括建设基础防御体系、安全风险评估、安全管理体系、信息交流机制和全面监控五部分的“大安全”体系。

　　“控制环境”是企业内控的基础；“风险评估”是有效发现风险、完成内控的前提；“控制活动”是实现企业经营合规、完成内控的主要过程；“信息与沟通”则是企业实现内控活动的有效保证；“监控”是保障内控活动、反馈工作效果、实现沟通信息源的重要手段。它们相互影响，相辅相成，共同在企业内控活动中发挥作用。

　　控制环境：

　　建设基础防御体系

　　中国人寿通过多年建设与投入，建立了遍布全国36家省级公司、300多家地级公司、近3000家县级公司及10000多家营业网点的四层信息网络，网络覆盖渗透至两乡，生产与办公线路分离，并且有良好的扩展性。

　　在庞大的信息网络上，中国人寿不走传统安全建设中“产品导向型”的老路，而是在“需求导向型”的防御体系建设思路下有效地配置从边界防火墙、网络IDS、远程接入VPN、统一病毒防御等产品和技术，建设起四级边界防御体系、三级病毒统一管理系统和有线、无线网络准入控制机制，在规模化、分布化、网络化、多样化中出效果。同时，中国人寿把“买服务”和“买产品”放在同等重要的地位上，在渗透测试、应急响应、安全咨询等方面购买了相关服务。通过以上手段，中国人寿实现了对整体信息环境的安全管控。

　　风险评估：

　　信息风险评估

　　中国人寿参照国际上通行的风险评估标准并结合自身特点，参考公司层面控制、IT一般控制、IT应用系统控制、人工依赖系统控制的逻辑架构，个性化设计了以自主风险评估为主，辅以外购专业风险评估服务的企业信息系统风险评估方法，于2006年、2007年连续在全系统范围内成功实行了两次年度信息安全风险评估工作，出具了《年度风险评估结果报告》、《年度风险处置计划》等相关文档，为管理层的信息安全管理决策提供了有力支持，公司将信息系统的风险评估结果纳入风险管理动态运作体系的PDCA（Plan-Do-Check-Act）大循环中，以评估结果与企业安全目标的差距作为工作指引，以消除差距为目标进行了信息安全建设与管理的持续改进。

 

热点新闻 投保率低保险业地震赔付损失预计不大 地震了你的保险赔不赔 万能结算利率拐点乍现 保监会：保险业捐款超1亿救灾人员均有免费承保 地震经济损失或达1900亿 金融保险火速打通地震灾区“现金流”

热门评论 中国平安追加捐赠3000万用于重建灾区小学 百亿保险保障资金将公司化运作 地震灾区保险赔款已达170万元 投保率低 保险业地震赔付损失预计不大 金融保险火速打通地震灾区“现金流” 保监会：保险业捐款超1亿 救灾人员均有免费承保