项目概述
北京某保险经纪企业,是一家专业的保险经纪服务提供商,公司以工程项目、企业项目、海外项目为基础,以投融资信用风险保障为核心业务,具体包括风险评估、风险分析、风险防范等风险管理服务,以及保险理赔、保险培训、再保险经纪等服务。创云科技协助该企业顺利完成了三级等保复测工作,确保其业务系统持续满足监管要求。
所属行业
保险经纪
等保级别
三级复测
项目地点
北京市
项目背景
根据《保险中介机构信息化工作监管办法》第二十四条,保险中介机构应按照国家网络安全等级保护相关规定,合理确定信息系统的安全等级,并按照国家网络安全等级保护相关标准进行防护,获得相应的国家网络安全等级保护认证。
金融行业涉及到多方的财产,一直以来就是网络安全攻击的重灾区。从2017年开始,国家相继颁布《网络安全法》、《密码法》、《网络安全审查办法》和《数据安全法》等法律法规及部门规章,对金融行业各个方面进行了大规模且细致的监管排查,网络安全和数据安全也成为监管金融行业的重中之重。
保险作为金融行业不可分割的一部分,保险中介行业在信息化安全建设方面通过等级保护测评,是响应政策降低监管难度,和保障客户安全从而赢得客户信任的必要经营资质。
该保险经纪企业的保险经纪业务系统已通过三级等保并已到期,根据我国网络安全等级保护规定,三级信息系统要求每年至少开展一次测评,因此需要完成等保复测工作。
痛点难题
首测体验不佳
企业表示,由于之前首测是和一家当地的机构合作,但服务体验不好,没有一站式的服务,很多工作都需要用户自己来做,反应也不够及时,整个等保项目周期远远超过项目预期。
技术资源受限
由于该企业内部人力有限,技术团队是外包的且服务器部署在阿里云,技术层面需要专人配合,同时缺乏专门的安全运维人员支持。
复测要求严格
三级信息系统的等保复测要求严格,测评内容包含技术方面96项要求和管理方面115项要求,涉及范围广泛且复杂,对企业形成很大挑战。
解决方案
专业一站式等保服务
针对客户首测体验不佳的痛点,创云科技全程为客户设置专职项目经理协调相关各方资源,落实各方责任,推进项目进度,提供管家式的项目管理服务。专业团队清晰了解等保复测的核心环节,特别关注定级备案后的整改工作,这也是让企业最头疼和容易踩坑的环节。通过专业的指导和全流程服务,确保复测工作顺利高效完成。
技术团队全程配合
针对客户技术资源受限的问题,创云科技为客户配备专业的技术人员,全程协助等保复测工作。作为国内领先的云计算与云安全服务平台,创云科技拥有丰富的等保实施经验,尤其在云上等保2.0方面。技术团队与客户外包团队紧密配合,确保测评和整改工作顺利进行,减轻客户技术团队负担。
精准安全产品配置
根据客户系统部署在阿里云的特点,创云科技安全团队为客户量身定制了安全运维方案。为满足等保2.0三级"安全区域边界"、"安全计算环境"、"安全管理中心"等的合规要求,精准推荐了Web应用防火墙、堡垒机、数据库审计、云安全中心和SSL证书等必要的安全产品,保障保险经纪业务系统的网络通信安全、设备计算安全以及应用数据安全,同时避免了不必要的产品投入,帮助客户节约成本。
项目成果
顺利通过等保复测
项目按期完成,保险经纪业务系统顺利通过三级等保复测,获得测评报告和备案证明,满足监管合规要求。
合规经营保障
通过复测,确保企业保险经纪业务持续满足《保险中介机构信息化工作监管办法》等法规要求,降低监管风险。
安全能力提升
整体安全防护能力得到提升,核心系统安全性强化,同时优化了安全管理流程,建立了更完善的应急响应机制。
保险行业等保知识
保险行业等保要求
保险行业等保要求主要参考以下法规政策:
2021年,《中国银保监会办公厅关于印发保险中介机构信息化工作监管办法的通知》(银保监办发[2021]3号)
2020年,《互联网保险业务监管办法》、《金融行业网络安全等级保护测评指南》(JR/T0072-2020)、《金融行业网络安全等级保护实施指引》(JR/T0071-2020)
2016年,《国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知》(国办发[2016]21号)
2012年,《金融行业信息安全等级保护测评服务安全指引》(JR/T0073-2012)
2009年,《关于印发保险公司信息化工作管理指引(试行)的通知》(保监发[2009]133号)
保险中介机构等保级别要求
从相关法规政策及其发展来看,金融行业特别是保险行业,等级保护证明已成为互联网保险申请牌照的准入门槛。根据《互联网保险业务监管办法》第七条规定:
持牌机构要求:对于具有保险销售或投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于三级
非持牌机构要求:对于不具有保险销售和投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于二级
等保复测的重要性
等保测评不是一次性工作,而是需要持续保持的合规状态。对于三级信息系统,要求每年至少开展一次测评。复测的重要性体现在:
保持合规状态:确保系统持续符合监管要求,降低违规风险
跟进安全标准更新:随着等保标准的更新和完善,及时调整安全措施
识别新增安全风险:系统环境和业务会不断变化,复测可以发现新出现的安全隐患
验证整改效果:检验上次测评后的整改措施是否有效,形成持续改进的闭环
增强安全意识:通过定期测评,保持组织内部对信息安全的持续关注