保险信息系统是国家重要信息系统，是保险业持续稳定发展的重要保障。日前，笔者参加了某保险公司审计项目，并尝试性在其中开展了信息安全审计，形成了一些粗浅的体会。
    一、审计重点
    信息安全审计的目标应在“治病救人”，即判断和建议上，其涵盖的内容可以分为广义和狭义的两个方面。从广义上说，信息安全审计应当评估被审计单位的总体信息安全状况，包括信息安全规划、投入、信息安全部门的设置、日常工作评估、应急演练措施等等；从狭义上说，可以仅仅包括数据安全、网络安全等某一方面。前者比较宏观，适合于决策者对被审计单位信息安全状况的全面了解和判断；后者更具备专业性，适合于专业技术人员参考和使用。
    笔者认为，应当在充分调查和理解保险公司信息安全现状的基础上，制定相应审计流程，结合项目审计的总体目标来确定信息安全审计的重点，找出被审计单位信息安全的薄弱环节，提出有效的审计建议。如本次审计的重点在于保险业对国民经济的保障作用，要求从体制上“查漏补缺”，因此信息安全审计重点应确定为评价保险信息安全保障体系建设现状，查找企业信息安全制度缺陷，评估未来可持续发展能力。
    从系统工程的角度看，信息安全保障体系建设是一项复杂的系统集成工程：它既包含了针对操作系统、网络传输、数据库服务，应用系统等进行访问控制、身份认证、数据加密和监控审计等功能的安全模块和专用安全设备的部署，也包含了对信息系统进行分区分域划块、边界保护和分等级实施不同强度防护的策略和设计；还包括在信息安全建设的具体操作上，采购不同厂家的安全产品和安全方案进行系统集成，取长补短、各适其用，最大化地发挥安全防护体系的整体效益。所以，一个企业的整体信息安全策略应至少包含以下三部分内容：(1)信息安全的总体方针和策略，(2)信息安全体系的技术架构；(3)信息安全管理的规章制度。
    评估信息安全保障体系建设情况的审计报告应能反映以下内容：第一，基础建设情况。可从了解数据中心、骨干网络和电力设施等基础建设开始，看其对核心设备是否采取了必要的冗余措施并重点保护，以增强基础设施的可靠性和稳定性。第二，资金投入状况。信息安全建设是一项花钱的工程，被审计单位信息安全建设的投入在年度成本支出中的比例可从一定程度上反映其对信息安全的重视程度。第三，体系化建设程度。信息安全往往遵循“木桶”原理，最短的那块木板决定了信息安全保障能力的高低，所以，加强信息安全保障工作的体系化十分重要。要观察被审计单位是否有加强信息安全的整体规划，是否不断丰富并完善信息安全保障手段，全面提高信息安全保障能力。第四，日常管理的规范化程度。要观察其信息安全日常管理是否规范到位，重要核心系统、核心设施和关键操作等的重点监控，是否有应急安全演练措施。第五，信息安全等级保护工作计划。当前，我国正大力推广信息安全等级保护工作，并逐步形成了相应的法律体系。要重点检查被审计单位是否开展了该项工作，是否按照相应规范操作，是否聘请了具有资质的信息安全测评机构进行风险评估工作，是否定期进行信息安全风险点的排查和整改工作，提高保障能力。
    二、对策与措施
    目前，一些保险公司的信息系统大多处于各自为政的状态，缺乏行业信息安全口径标准。在开展信息安全审计时，应注重研究行业共性，推动保险行业信息安全发展有章可循，而不仅仅拘泥于一些表面和偶然的现象，在全行业的角度提出有价值的审计建议。从过往的信息安全审计来看，信息安全建设比较好的行业比较注重顶层设计，设计了较好的信息安全策略；而信息安全策略不够明确的一些行业，其配套措施跟不上，再加上制度和监管的缺失，其下属企业在信息安全防护系统建设中出现了认识不统一、缺乏体系化和重复建设等诸多问题，严重影响和迟滞了信息安全建设的步伐。由此可见，安全策略审计是问题的关键所在，审计人员必须对企业的信息安全策略做出客观、合理的评价，才能达到准确评估的目的。
    建议从信息安全等级保护工作检查入手，参照相关法律和流程，结合审计重点，由大到小设计相应的检查步骤。以本项目为例，笔者采取了“策略-机制-流程-文档”的由宏观到微观的审计模式，其方法主要为：
    (一)安全策略审计。这部分主要依据风险评估结果和等级保护要求，确定该公司的具体安全需求，检查是否有相应的安全策略，如环境安全策略、数据访问控制安全策略、数据加密与数据备份策略、身份认证及授权策略、灾难恢复及事故处理策略、紧急响应策略、安全教育策略、审计策略等，并评估其使用效应。
    (二)安全机制审计。安全策略通过安全机制来保障和实施，是实施安全策略的技术、制度和标准。在有限的时间里，可对某一安全策略进行重点抽查，并评价其保障效应。如对环境安全策略，可参考相应级别的等级保护措施，考察企业信息化环境的安全度。又如身份认证和授权策略，可重点观察企业在各系统采用的技术是否一致，是否存在超前或滞后的风险。
    (三)业务流程审计。在信息系统安全机制的实施过程中，具体操作必须按照规定的流程进行才能够确保不发生违反安全策略的事件。可在重点审查的安全机制下，选取某一具体流程，以模拟身份进行完整测试，以评估其流程设计是否严密，是否切实体现了该机制的要求，是否存在安全漏洞。
    (四)文档审计。严格的业务流程要求在每一步操作都必须留下相应文档的记录。审计人员可通过这些文档来了解和评价某一具体流程的可控性，进而评价安全策略的可靠性。
    三、结语
    俗话说：“三分技术，七分管理。”由于观念的问题，一些保险公司在开展信息化中更多的是注重设备和技术投资，而忽视与此相应的业务流程和管理模式的变革，而信息安全又像一只看不见的手，无法在实际中评估其给企业带来的效益，因此企业在此方面难免有所纰漏。在审计中，审计人员应注重从信息安全技术体系和信息安全管理体系两个方面给予恰当的审计评价，结合保险业的行业特色，充分保障全行业信息安全的有效发展。（王楠 ）