JR∕T 0058-2010 保险信息安全风险评估指标体系规范(金融)

ID

89FC0676802F4C5290C3CFA823CF5D9B

文件大小(MB)

0.74

页数:

42

文件格式:

pdf

日期:

2021-12-21

购买:

购买或下载

文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):

JR/T ××××—××××,ICS,备案号: JR,中华人民共和国金融行业标准,保险信息安全风险评估指标体系规范,Insurance Information security risk evaluation,Indicators standard,(报批稿),××××-××-××发布 ××××-××-××实施,中国保险监督管理委员会 发布,JR/T ××××—××××,II,目 次,前 言 IV,引 言 .. V,保险行业信息安全风险评估指标体系 .. 1,1 范围 . 1,2 规范性引用文件 .. 1,3 术语和定义 . 1,4 信息安全风险评估概述 2,4.1 信息安全风险评估的工作形式 .. 2,4.2 信息安全风险评估实施 .. 2,4.2.1 确定目标 2,4.2.2 获得支持 2,4.2.3 组建团队 2,4.2.4 现状调研 2,4.2.5 确定依据和方法 . 3,4.2.6 制定方案 3,4.2.7 评估实施 3,4.2.8 风险结果判定及处置计划 3,4.3 信息安全风险保护能力级别 3,4.4 信息安全风险评估指标 .. 4,5 信息安全风险评估指标体系 . 5,5.1 管理指标 . 5,5.1.1 安全管理制度 . 5,5.1.2 安全管理机构 . 7,5.1.3 人员安全管理 . 9,5.1.4 系统建设管理 . 11,5.1.5 系统运维管理 . 14,5.2 技术指标 22,5.2.1 物理安全 .. 22,5.2.2 网络安全 .. 23,5.2.3 主机系统安全 . 26,5.2.4 应用安全 .. 27,5.2.5 数据安全 .. 29,参考文献 .. 30,JR/T ××××—××××,III,附 录 A .. 31,(规范性附录) .. 31,保险信息安全风险评估指标体系框架 31,附 录 B .. 32,(规范性附录) .. 32,保险信息安全风险评估指标体系的分级原则 32,附 录 C .. 34,(资料性附录) .. 34,保险信息安全风险评估指标体系控制域 .. 34,C.1 安全管理控制域设计 . 34,C.1.1 安全管理制度 34,C.1.2 安全管理机构 34,C.1.3 人员安全管理 34,C.1.4 系统建设管理 35,C.1.5 系统运维管理 35,C.2 安全技术控制域设计 . 35,C.2.1 主机系统安全 35,C.2.2 物理安全 .. 35,C.2.3 网络安全 .. 35,C.2.4 应用安全 .. 35,C.2.5 数据安全 . 35,JR/T ××××—××××,IV,前 言,本标准的附录A 和附录B 为规范性附录,本标准的附录C 为资料性附录,本标准由全国金融标准化技术委员会保险分技术委员会提出,本标准由中国保险监督管理委员会和全国金融标准化技术委员会批准,本标准由全国金融标准化技术委员会保险分技术委员会归口管理,本标准起草单位:中国保险监督管理委员会统计信息部、中国科学院研究生院计算与通信工程学院,本标准主要起草人:吴晓军、于玫、李春亮、李伟华、朱培标、石一飞、王晓鹏、崔秀、潘辛平、,王颖、张宁、丘山、龚华勇、贾嘉、张琳璟,JR/T ××××—××××,V,引 言,保险信息系统是国家重要信息系统之一,信息安全问题关系保险业发展全局,也关系到社会经济的,稳定。定义一套行之有效的信息安全风险评估方法,建立风险评估指标体系,确立有效的评估和监管机,制具有重大的现实意义,本标准在《信息安全技术信息系统安全等级保护基本要求》、《GB/T 20269-2006 信息安全技术 信,息系统安全管理要求》、《GB/T 19716-2005 信息技术 信息安全管理实用规则》、《GB/T 20271-2006 信,息安全技术 信息系统通用安全技术要求》、《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》,等标准的基础上,根据保险行业现有技术的发展水平,提出了保险行业信息安全风险评估的方法,规定,了不同信息安全风险保护能力的具体评估指标,即信息安全风险保护能力指标。信息安全风险保护能力,指标包括技术指标和管理指标。本标准适用于指导保险行业不同信息安全风险保护能力下的安全建设和,监督管理,指引保险企业在适度投入的情况下逐步提升整体信息安全保护能力,JR/T ××××—××××,1,保险行业信息安全风险评估指标体系,1 范围,本标准规定了不同信息安全风险保护能力级别的安全保护能力指标,包括技术指标和管理指标,适,用于指导不同能力级别组织的安全建设和监督管理,2 规范性引用文件,下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有,的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研,究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准,GB/T 5271.8 信息技术 词汇 第8部分:安全,GB/T GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求,3 术语和定义,下列术语和定义适用于本标准,3.1,安全保护能力 security protection ability,系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度,3.2,信息安全风险评估 information security risk assessment,依据有关信息安全技术与管理标准,对由信息系统及由其处理、传输和存储的信息等构成的被评估,对象的安全特性进……

……