演讲:阮琦
作为一家保险公司,中国人寿在为公众提供保险服务的同时也必须关注自身信息系统的“保险”问题,即建立健全而规范的信息安全保障体系。凭借扎实的工作和不懈的努力,包括信息安全管控在内的中国人寿内控工作于2007年顺利通过了美国风险控制“重典”萨班斯法案的首年审计,充分体现出公司安全管理合规性和信息安全内控力度已经与国际全面接轨,公司的国际竞争能力已在“建设国际顶级金融保险集团”和“打造国际顶级IT能力”的进程中提升到新的高度。
中国人寿及其信息技术
作为在美国、香港、内地三地上市的金融企业和全球市值最高的寿险公司,中国人寿同时跻身全球企业500强和世界品牌500强。公司前身是创立于1949年10月的原中国人民保险公司和分设于1996年2月的中保人寿保险有限公司以及1999年1月成立的中国人寿保险公司,目前是中国市场上规模最大、拥有客户最多、最具投资价值、成长速度最快的保险公司。公司现有员工6万余人,代理人逾60万,已为超过1亿的长期保单客户和1.5亿的短期保单客户提供过服务。
在信息化建设方面,中国人寿在90年代前后开始进行业务计算机处理,1997年建成覆盖全国的计算机网络,2002年起实施全国数据大集中。中国人寿建有中国寿险业最庞大的计算机网络系统和最复杂的信息系统,开发了核心运营系统(CCOS)和各种相关联的应用系统,在寿险经营价值链的全过程基本实现了计算机处理与管理。公司拥有超过1600人的专业计算机技术及管理人员,一大批熟练的作业人员和IT应用者。在中国企业信息化500强排名中,中国人寿2006年列居第12位。公司还先后获得过“中国信息化建设项目成就奖”“全国企业信息化工作先进集体”等多项荣誉。
具有国有企业和国际化公司双重身份的中国人寿,既需要遵守国家法律与行业法规,又需要遵循国际标准、接受国际监管,最终要实现国内外标准的有机整合。为此,中国人寿以萨班斯法案遵循工作为契机,深入挖掘全系统IT运营管理的缺陷和漏洞,充分研究分析国际国内监管要求,以国际IT治理框架为指导,结合公司实际情况进行创新性的实践,逐步建立起一整套有中国人寿特色的“大安全”体系,包括建设基础防御体系、安全风险评估、安全管理体系、信息交流机制和全面监控五部分。
SOX的由来及相关参照框架标准
2001年,“安然事件”等一系列的财务虚假案暴露了美国法律的诸多不足,促使美国对资本市场的监管制度和信息披露制度进行变革,SOX应运而生。SOX即美国参议院Sarbanes和众议院Oxley2002年联合提出的《公众公司会计改革和投资者保护法案》,法案旨在通过提高公司信息披露的准确性和可靠性,增加公司责任,为上市公司会计和审计的不适当行为规定更加严厉的处罚,保护投资者。该法案对美国《1933年证券法》、《1934年证券交易法》作了修订,是美国历史上具有深远意义的证券立法,适用于在美上市的美国和非美国公司。SOX不仅是一个会计改革法案,更是对公司的管控和IT内部控制提出了严格的要求。
SOX中第302条款和404条款重点关注了企业的内控问题,并在906条款中规定了CEO和CFO的所要承担的民事与刑事责任。鉴于公司运营的诸多环节严重依赖于信息系统的支持,以上条款的遵循中,都离不开企业IT部门的努力。
中国人寿信息安全工作在遵循SOX方面,按照图1的路线图进行相关实践与探索。这一路线图反映了从宏观到微观、从法规要求到框架标准、从综合风险管控到具体IT风险控制的推演过程。COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO是美国证券交易委员会唯一推荐使用的内部控制框架,SOX404条款的「最终细则」也明确表明 COSO可以作为企业内部控制的框架。COSO是完整、全面和不偏依的企业内控框架,是企业贯彻SOX的主要依据。而COBIT强调公司整体的IT战略和IT治理,强调职责分离,适用于整个IT范畴。源自BS7799的ISO27001 / 17799则是信息安全领域最权威的国际标准和遵循SOX的最佳实践方法。
中国人寿对SOX影响的认识
企业在进行SOX法案遵循工作时,一般持有有两种态度:一种视SOX为洪水猛兽,把它看作是加重成本投入、影响工作效率的负面因素;另一种则视SOX为改进管理的动力,在积极贯彻SOX的同时整改现有的IT管理流程,提高企业信息安全管控能力。中国人寿选择了后一种态度,并在实践中总结出SOX对企业信息安全建设的五大促进作用。
SOX强化了企业对信息安全的需求:SOX对企业实现的风险管控、信息披露的准确性与可靠性的要求,在IT层面上既是压力也是动力。SOX能帮助企业更加重视信息安全体系建设,更加重视信息层面的流程管控,并且由于审计和监督机制的引入而使信息安全管理架构与工作流程发生了重大的变化,切实有效的形成了信息安全整体建设推动力。
SOX扩展了信息安全的实践范围,形成大安全的态势:在信息安全理论领域,早就形成了“三分技术、七分管理”的共识,但是在实际工作中,更多的企业还是走“产品导向型”建设的老路。在落实SOX有关要求的过程中,企业不得不重视IT治理、IT流程控制、IT应用程序控制等管理问题,把信息安全的实践向大安全、广义安全的方向推进,使企业信息安全建设目光不只局限在产品与技术上,而在IT流程控制与程序控制方面增加了风险控制点,并对风险点行为增加了审计,进一步扩大了信息安全实践范围。
SOX促进了相关IT控制标准框架的应用:由于信息安全渗透于信息化建设的各个方面,一套科学的、整体的信息管理制度是安全工作的根本保障。SOX能帮助企业更好地应用COBIT、ISO2000、ISO17799、ISO27001等国际优秀的IT控制标准框架,让企业制定出更完善的信息管理制度、更规范的信息安全管理流程、更有效的应用程序风险控制。
SOX是对企业信息安全工作是强有力的检验器:检验的作用主要体现在对程序和数据的访问控制、对变更管理、程序开发、系统运行管理等四个方面。SOX法案的定期内控审计工作,对上述四个方面的各管理流程上的风险控制点都加以抽样、评估,最终得出控制是否有效的结论,及时反馈公司信息安全工作的真实状况,辅助管理层进行科学决策,起到了检验器的作用。
SOX提升了IT部门在公司的地位和作用:由于SOX对内控风险管理的要求,它在企业遵循合规的过程中为IT部门与信息安全管理赢得了必要的预算支持,赢得了IT部门在公司管理决策过程中更多的话语权,奠定了IT部门在公司经营合规中是的必要地位。
通过科学分析、正确定位,中国人寿在SOX遵循工作的促进与上述五点认识的指导下,进行了卓有成效的信息安全实践。
中国人寿的信息安全实践
“控制环境”、“风险评估”、“控制活动”、“信息与沟通”、“监控”是企业内控的五大要素,“控制环境”是企业内控的基础;“风险评估”是有效发现风险、完成内控的前提;“控制活动”是实现企业经营合规、完成内控的主要过程;“信息与沟通”则是企业实现内控活动的有效保证;“监控”是保障内控活动、反馈工作效果、实现沟通信息源的重要手段。它们相互影响,相辅相成,共同在企业内控活动中发挥作用。中国人寿以风险和策略为出发点,从企业级的高度(而不是仅从信息技术角度)全面规划信息安全保障策略。在信息系统生命周期中,从技术、管理、工程和人员等方面提出保障要求,确保信息的保密性、完整性和可用性。通过实现和贯彻组织机构策略,将风险降低到可接受的程度,达到保护组织机构信息和信息系统资产、保障组织机构实现使命的最终目标。实践COSO是遵循SOX的关键,所以在安全建设过程中,中国人寿创新性地将COSO中的五要素控制理论引用到信息安全实践中。
控制环境:建设基础防御体系
中国人寿通过多年建设与投入,建立了遍布全国36家省级公司、300多家地级公司、近3000家县级公司及10000多家营业网点的四层信息网络,网络覆盖渗透至两乡,生产与办公线路分离,并且有良好的扩展性。
在庞大的信息网络上,中国人寿不走传统安全建设中“产品导向型”的老路,而是在“需求导向型”的防御体系建设思路下有效地配置从边界防火墙、网络IDS、远程接入VPN、统一病毒防御等产品和技术,建设起四级边界防御体系、三级病毒统一管理系统和有线、无线网络准入控制机制,在规模化、分布化、网络化、多样化中出效果。同时中国人寿把“买服务”和“买产品”放在同等重要的地位上,在渗透测试、应急响应、安全咨询等方面购买了相关服务。通过以上手段,中国人寿实现了对整体信息环境的安全管控。
风险评估:信息风险评估
中国人寿参照国际上通行的风险评估标准并结合自身特点,参考公司层面控制、IT一般控制、IT应用系统控制、人工依赖系统控制的逻辑架构,个性化设计了以自主风险评估为主,辅以外购专业风险评估服务的企业信息系统风险评估方法,于2006年、2007年连续在全系统范围内成功实行了两次年度信息安全风险评估工作,出具了《年度风险评估结果报告》、《年度风险处置计划》等相关文档,为管理层的信息安全管理决策提供了有力支持,公司将信息系统的风险评估结果纳入风险管理动态运作体系的PDCA(Plan-Do-Check-Act)大循环中,以评估结果与企业安全目标的差距作为工作指引,以消除差距为目标进行了信息安全建设与管理的持续改进。
控制活动:安全管理
在控制活动方面,中国人寿建立面向活动控制的安全管理体系,管理信息建设全过程的各类人工与非人工活动。
中国人寿将团队组织建设放在基础位置,建立起覆盖全国的安全管理队伍,强调对人员进行技能培训,更强调团队合作,注重团队自主创新能力的培养,并通过互联网平台,构建起具备实时沟通能力的虚拟工作团队,“总”“分”一体应对信息安全威胁。
在组织建设的基础上,中国人寿在安全管理上积极采用国际先进方法,学习成熟经验,同时突出自主性,逐步摸索出适合自身发展需求的先进安全管理理念,从计划、组织、领导、控制四个环节实施管理工作,建立起统一用户安全管理系统,以安全运行报告为监督手段和沟通手段,以全网安全事件应急响应为演练目标,建立起了企业级信息安全应急响应体系,特别注重了安全建设期与安全运维期的差异性管理,进一步加强安全系统运维期的规范管理工作。
信息与沟通:信息交流机制
组织决策是信息化建设的决策与执行保障。中国人寿积极组建“信息化建设委员会”从公司总体发展战略需要的角度出发,行使信息化建设项目的决策权,并保障建设项目所需资源,就重大建设项目提出技术咨询建议,供决策层参考。“信息化建设委员会”负责所有建设项目的协调和组织、执行与控制。公司还成立了信息安全领导小组及工作小组,专项负责企业级信息安全建设工作。通过三个组织间的沟通与协调,全面保障公司信息安全的整体规划与实践。
在上述组织的组织与指导下,中国人寿已撰写完成了《中国人寿信息技术管理制度》,其中包括29个制度、60个流程、144个表单,并将这个制度在公司自主开发的IT管理平台上以流程化、自动化方式加以实现。
监督:全面监控
监督是评估内控系统在一定时期内运行质量的过程,中国人寿建立了完备的内部监督与控制体系,在信息安全层面,公司建立了保障信息安全工作持续有效的执行与审计的措施,以IT资产为核心,通过安全管理、运行管理、服务管理、一般性管理等一套完整的管理体系,实现综合管控,达到效果倍增的作用。主要监控手段包括:基于NIDS的入侵监控,防病毒监控系统,桌面机监控系统,网络监控系统,主机监控系统,数据库审计管理,以及在统一管理上述安全风险的基础上实现统一的安全管理平台(SOC),以持续性的监控程序实现动态地应对环境的风险变化,并以全面监控体系的分析数据,为公司信息化决策层面、IT管理层面、风险控制层面提供了基于信息安全的有效决策依据。
结语
通过遵循SOX的信息安全实践,中国人寿信息安全管治水平跃上了新的台阶,尤其是营造了良好的企业安全文化氛围,整体提升了企业竞争实力。
2007年5月18日,包含外部审计师无保留意见的内部控制审计报告的美国年报已经正式报送美国证监会,这标志着中国人寿对SOX的首年遵循工作圆满完成,公司的风险管制能力与信息安全管控能力已经正式得到国际认可。
与此同时,中国人寿因为在SOX、安全体系建设、技术创新等方面的突出表现,同年也被授予2007年度的“中国信息安全保障突出贡献奖”。诸多成果都展现了公司在SOX遵循工作的助推下,在“建设国际顶级金融保险集团”和“打造国际顶级IT能力”方面又迈出了坚实的一步。
