日前,中国太平洋保险(集团)股份有限公司(以下简称“太平洋保险”)与 IBM 公司共同宣布,双方通过在 IT 安全体系服务领域展开深入合作,确立了太平洋保险的信息安全策略,建立了信息安全管理系统,这将进一步提高太平洋保险 IT 风险管理和风险应对的能力,全面提升太平洋保险的竞争优势。
自 2002年开始,太平洋保险就开始根据集团、产险、寿险业务的发展战略,在客观评估现有 IT 环境与资源的基础上,采用先进的 IT 技术和业界最佳实践来规划灵活的 IT 架构以保证前瞻性和科学性。为了向客户提供更完善的保险服务,适应公司业务快速发展的需要,太平洋保险针对 IT 安全隐患及薄弱环节,从管理和技术两方面着手,与 IBM 开展项目合作,在建立安全体系的同时,开发完善 IT 安全解决方案。
企业 IT 安全体系的建立和实施会涉及整个公司的各个层面,需要企业在 IT 建设方面建立相应的 IT 管理机制。为此,太平洋保险建立了从集团信息技术工作委员会的决策层,IT 管理和专家组成的监控层,以及项目团队为实施层的管理框架。通过这样一个科学管理框架,确保了资源的有力支持,有利于从管理体制上进行灵活的调整,以适应安全体系建设的需要。
在项目的推进过程中,太平洋保险以 IBM 安全架构(ESA)方法作为基础,按照计划、开发、评估、推广四个阶段分步实施。在计划阶段,在分类和收集太平洋保险公司 IT 资产的基础上,重点做好安全风险评估工作,尤其是应用安全的评估。同时,通过安全需求分析,IBM 从管理体系和技术架构两方面设计了 IT 安全总体解决方案,确定了太平洋保险的 IT 安全管理体系框架。在开发阶段,对总体解决方案进行全面展开,将管理体系方面解析为安全策略、管理规范、用户行为守则等管理文档;并将技术架构分为用户管理与认证、安全事件的收集与分析等子系统进行单独设计。
目前,太平洋保险 IT 安全规则项目的设计和开发阶段已如期完成,顺利进入评估阶段。太平洋保险集团副总经理、IT 安全项目负责人徐敬惠表示:“太平洋保险对企业的风险管理和 IT 安全一直十分重视,并希望通过科学、灵活地规划信息安全管理体系和成功的项目实施,真正达到规避风险,保障业务的发展的目标。此次与 IBM 的合作,为我们进行安全项目的整体规划和实施奠定了坚实的基础。”
IBM 大中华区全球信息科技服务部大中华区企业 IT 安全服务产品线经理徐欢表示:“IBM 从风险管理的角度出发,通过 IBM 业界领先的方法论、全球服务支持和最佳实践经验,以及对应用与业务的研究与对金融保险行业的洞察力,帮助太平洋保险规划具有针对性的 IT 安全管理架构蓝图,建立了 IT 安全体系。”
下一阶段,太平洋保险将在整个集团层面,与 IBM 共同开展大规模的安全意识宣传和项目成果的评估和推广。
在中国信息经济学会日前举办的“2007 年中国企业信息安全高层研讨会”上,太平洋保险的“定义与实施 IT 安全规则项目”还荣获了保险行业信息安全优秀解决方案大奖。 |
