保险机构也要做等保三级
原标题:保险新规!一文教你如何快速通过等保三级!
12月13日,银保监会起草的《互联网保险业务监管办法(征求意见稿)》(简称“新规”)面世,开始向相关保险机构、互联网机构及部分银行机构征求意见。“新规”界定了互联网保险的业务的经营条件、营销宣传等,对产品、销售、服务、运营等拟定了办法,比如:从业人员违规营销的后果,非保险机构平台不可售卖互联网保险等。更值得关注的是,网络安全等级保护将成为保险机构开展互联网业务的硬性指标,“新规”要求持牌机构网络安全等级达到三级。
什么是等保三级?
《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,并以等级保护为网络安全评判标准,网络安全等级保护分为五级,等级越高,安全保护能力就越强。
等保三级主要依据《计算机信息系统安全保护等级划分准则》、《信息安全技术信息安全等级保护基本要求》第三级要求,内容涵盖了信息保护、安全审计、通信保密等在内的近300项内容测评验收,比如:恶意代码篡改用户信息,危险源攻击用户支付账户等,要求非常严格!同时,三级属于“监管级别”,是国家对非银行机构的最高认证,由国家信息安全监管部门进行监督、检查。
为什么互联网保险要求做等保三级?
随着互联网的快速发展,我们的生活也发生了翻天覆地的变化。我们在享受换联网带来的便捷、灵活的同时,也出现了一些问题,比如:个人信息泄露、黑客攻击、银行卡盗刷等,给我们的生活带来了不小的麻烦。
互联网保险依托互联网开展保险业务,而每一笔保单本身涉及用户大量资料信息,比如:身份信息、家庭关系等,一旦出现网络信息安全问题,不法分子利用技术漏洞恶意篡改数据、盗取用户信息等,将严重损害了投保人的利益,更削弱了用户对互联网保险的信任度。
如何通过等保三级测评?
等保三级申请程序包括:定级、备案、安全建设和整改、信息安全等级测评。
定级:依据相关法律政策,编写定级报告,填写定级备案表;备案:定级备案表填写完整后,将定级材料提交至公安机关进行备案审核;安全建设和整改:对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试,完善管理制度等工作;信息安全等级测评:对系统进行全面测评,测评分数合格后获得合格测评报告;
以新一站保险为例:
第一步:根据“新规,”新一站保险为保险机构网络自营平台,从事互联网保险业务,需达到网络安全等级三级——定级为三级;
第二步:填写《网络安全等级保护备案表》,其中包括:《单位基本情况》、《信息系统情况》、《信息系统定级情况》和《第三级以上信息系统提交材料情况》及其他有关材料(比如:《信息系统安全等级保护定级报告》)等,交至公安进行备案审核——见下图2018年12月29日拿到备案证明(新一站保险网旗下自营平台系统和支付系统做了等保三级的认证)
第三步:对进行系统梳理与调研,出具《差距性分析》和《整改方案书》,再根据这两份分析进行整改和系统安全加固——找出不安全因素进行整改;
第四步:整改完成之后,请测评机构进行全面测评,测评合格后便可拿到合格测评报告——从备案到2019年8月5日拿到了带DJCP印章的等保三级测评报告,历时7月有余,通过等保三级的认证。
通过等保三级,意味着平台系统有能力应对外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击以及其他相当危害程度的威胁所造成的主要资源损害,同时还具备灾后数据恢复能力,更意味着在技术、管理、控制层面达到国家指标。
本文转载自新一站保险网,版权归作者所有,文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系删除。