等保案例

助力保险经纪企业合规过三级等保复测

图片.png

北京某保险经纪企业,是一家保险经纪服务提供商,公司以工程项目、企业项目、海外项目为基础,以投融资信用风险保障为核心业务,具体包括风险评估、风险分析、风险防范等风险管理服务,以及保险理赔、保险培训、再保险经纪等服务。


根据《保险中介机构信息化工作监管办法》第二十四条,保险中介机构应按照国家网络安全等级保护相关规定,合理确定信息系统的安全等级,并按照国家网络安全等级保护相关标准进行防护,获得相应的国家网络安全等级保护认证。


由于业务需求以及法律规定,该保险经纪企业的保险经纪业务系统已通过三级等保并已到期,现需要一家一站式等保公司协助完成三级复测工作


一、背景


金融行业涉及到多方的财产,一直以来就是网络安全攻击的重灾区。


从2017年开始,国家相继颁布《网络安全法》、《密码法》、《网络安全审查办法》和《数据安全法》等法律法规及部门规章,对金融行业各个方面进行了大规模且细致的监管排查,网络安全和数据安全也成为监管金融行业的重中之重。


保险作为金融行业不可分割的一部分,保险中介行业在信息化安全建设方面通过等级保护测评,是响应政策降低监管难度,和保障客户安全从而赢得客户信任的必要经营资质。


北京某保险经纪企业,公司业务涉及到风险评估、风险分析、风险防范等风险管理服务,以及保险理赔、保险培训、再保险经纪等服务,根据法规已完成首次三级等保测评工作,由于我国网络安全等级保护正常规定三级信息系统要求每年至少开展一次测评,急需一家能做一站式等保服务的公司协助完成复测工作。


二、客户痛点


痛点一:企业表示,由于之前首测是和一家当地的机构合作,但服务体感不好,没有一站式的服务,很多工作都需要用户自己来做,反应也不够及时,所以整个等保项目周期是花了很长时间,远远超过项目预期。现急需为企业保险经纪业务系统过三级等保复测,所以复测的时候希望找一家专业、服务好的一站等保公司协助快速过等保复测。


痛点二:由于该企业内部人力有限,技术团队是外包的且服务器部署在阿里云,技术层面需要人配合,同时缺乏专门的安全运维人员支持,也需要专业的安全团队协助,希望选择比较便捷简单,且是必须的安全产品进行防护、满足三级等保合规要求。


三、解决方案


1、专业一站式等保,全程管家式服务缩短整改时间,协助保险经纪业务系统省时省心顺利合规完成三级等保复测。


针对痛点一,创云科技全程为客户设置专职项目经理协调相关各方资源,落实各方责任,推进项目进度,为客户提供管家式的项目管理服务



其实等保最主要由定级备案+整改两部分组成,很多企业认为只要找测评机构做好了定级备案就万事大吉,但往往定级备案后的整改才是让企业头疼和踩坑的,特别是复测。


以三级信息系统的等级保护规定为例,整个测评的流程非常严苛,其测评内容包含等级保护安全建设整改(技术)的5个方面内容以及建设整改(管理)的5个方面内容。


包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心在内共96项技术要求;包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理在内的115项管理要求




这也是为什么做等保最好选择一站式服务的原因。


2.技术团队全程配合协助,量身定制安全运维方案,确保满足等保2.0合规要求,不给客户推荐并不急需的安全产品


除了项目管理,创云科技还会为每个等保客户配备专业的技术人员,创云科技作为国内领先的云计算与云安全资讯与服务平台,曾帮助过万企业客户安全上云,等保实施经验丰富,尤其云上等保2.0。


为保障用户信息系统安全,满足等保2.0合规要求,创云科技安全团队还为客户定制了包括安全产品在内的安全运维方案。客户的服务器部署在阿里云上,根据法规要求,同时为了满足等保2.0三级 “安全区域边界”、“安全计算环境”、“安全管理中心”等的合规要求,创云科技的安全人员为客户推荐了:


Web应用防火墙

堡垒机

数据库审计

云安全中心

SSL证书


保障了保险经纪业务系统网络与通信安全、设备与计算安全以及应用和数据安全,不给客户推荐并不急需的安全产品,帮助客户节约成本。


同时,在安全管理方面,创云科技安全团队还建议客户根据组织的管理要求建立全面的应急场景和应急体系,使其应急演练场景更加全面。


四、补充了解


从相关法规政策及其发展来看,金融行业特别是保险行业,等级保护证明已成为互联网保险申请牌照的准入门槛,持牌机构网络安全等级保护达到三级,非持牌机构网络安全等级保护达到二级。


《互联网保险业务监管办法》第七条:(四)贯彻落实国家网络安全等级保护制度,开展网络安全定级备案,定期开展等级保护测评,落实相应等级的安全保护措施。对于具有保险销售或投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于三级;对于不具有保险销售和投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于二级。


保险行业等保要求:


2007年,《中国保险监督管理委员会办公厅关于开展保险业(第二批)信息系统安全等級保护定级工作的通知》(保监厅发[2007]80号)

2009年,《关于印发保险公司信息化工作管理指引(试行)的通知》(保监发[2009]133号)

2011年,《关于贯彻落实保监会应急管理相关要求的通知》(沪保监发(2011]107号)

2012年,《金融行业信息安全等级保护测评服务安全指引》(JR/T0073-2012]

2016年,《国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知》(国办发[2016]21号)

2020年,《互联网保险业务监管办法(征求意见稿)》

《金融行业网络安全等级保护测评指南》(JR/T0072-2020)

《金融行业网络安全等级保护实施指引》(JR/T0071-2020)

2021年,《中国银保监会办公厅关于印发保险中介机构信息化工作监管办法的通知》(银保监办发[2021]3号)


一站等保更是帮助过万企业客户安全上云,等保实施经验丰富,尤其云上等保2.0,为企业提供全国范围的专业一站等保服务,帮助企业在全国各地快速便捷通过等保合规,构建安全合规的信息网络体系。


五、创云科技一站等保有何优势?


1.全国范围一站安全等保服务,为客户提供管家式的项目管理服务


提供等保测评全过程贴心服务,一站等保咨询:定级备案、差距测评、整改、测评报告、安全检查,全程专人项目管理。全国范围对接协调相关机构: 监管部门、测评机构、专家库、安全产品厂家、基础架构厂家。


在本次案例中,创云科技为客户提供安全、可靠、专业的安全合规产品和服务,同时快速、高效提升了客户的等保合规能力,节省下客户60%以上的时间成本。

 

2.真正从客户角度出发,为客户提供最适合的整改方案


有别于安全产品厂家,以专业中立的站位,为客户提供性价比更优、更灵活的整改方案建议。


有别于测评机构,可以为客户提出具体的整改方案,服务更全面、更完整。


3.值得信赖的专业云计算安全服务团队,专业度不打折


华南地区最具规模的专业认证的云安全架构师队伍。


帮助过万企业客户安全上云,等保实施经验丰富,尤其云上等保2.0。