ICS JR 备案号： 中华人民共和国金融行业标准 JR/T ×××××××× 保险信息安全风险评估指标体系规范 InsuranceInformation security risk evaluation Indicators standard （报批稿） 行业标准信息服务平台 ×X×X-× ×-× ×发布 X×××-X×-X×实施 中国保险监督管理委员会发布 JR/T ×x××xxxx 目 次 前 .IV 言 引 .V 保险行业信息安全风险评估指标体系. 1范围.. 2规范性引用文件. 3术语和定义.. 4信息安全风险评估概述， 4.1信息安全风险评估的工作形式.. 4.2信息安全风险评估实施 4.2.1确定目标.... 4.2.2获得支持... 4.2.3组建团队.. 2 4.2.4现状调研 2 4.2.5确定依据和方法 4.2.6制定方案.. 4.2.7评估实施. .3 4.2.8风险结果判定及处置计划 4.3信息安全风险保护能力级别 4.4信息安全风险评估指标 5信息安全风险评估指标体系， 5.．管理指标.. 5 5.1.1安全管理制度. 5.1.2安全管理机构， 5.1.3人员安全管理. 5.1.4系统建设管理 5.1.5系统运维管理. 5.2技术指标... .22 5.2.1物理安全.. ..22 5.2.2网络安全. ..23 5.2.3主机系统安全， ..26 5.2.4应用安全... ..27 5.2.5数据安全， ..29 参考文献. 30 II1 JR/T ×××××××x 附录A... .31 （规范性附录） .31 保险信息安全风险评估指标体系框架 ..31 附录B.. ..32 （规范性附录） .32 保险信息安全风险评估指标体系的分级原则 ...32 （资料性附录） ..34 保险信息安全风险评估指标体系控制域 .34 C.1安全管理控制域设计 ..34 C.1.1安全管理制度 .34 C.1.2安全管理机构.. ..34 C.1.3人员安全管理. ...34 C.1.4系统建设管理 .35 C.1.5系统运维管理， ..35 C.2安全技术控制域设计 .35 C.2.1主机系统安全 .35 C.2.2物理安全， ..35 C.2.3网络安全. ..35 C.2.4应用安全， ..35 C.2.5数据安全， .35 行业标准信息服务平台 III JR/T×x×××××x 前 言 本标准的附录A和附录B为规范性附录。 本标准的附录C为资料性附录。 本标准由全国金融标准化技术委员会保险分技术委员会提出。 本标准由中国保险监督管理委员会和全国金融标准化技术委员会批准。 本标准由全国金融标准化技术委员会保险分技术委员会归口管理。 本标准起草单位：中国保险监督管理委员会统计信息部、中国科学院研究生院计算与通信工程学院 本标准主要起草人：吴晓军、于玫、李春亮、李伟华、朱培标、石一飞、王晓鹏、崔秀、潘辛平、 王颖、张宁、丘山、龚华勇、贾嘉、张琳璟 行业标准信息服务平台 IV