审计目录
|
|
|
《保险机构信息化监管规定》
- 第六章 信息安全管理
《互联网保险业务监管规定》
- 第二章 资质条件
《保险机构信息化风险非现场监管报表及评价体系》
- 互联网保险(HLWBX)
|
|
审计过程中作为审计证据涉及的资料包括但不限于如下:
? H001.互联网保险业务网络域名及IP地址等信息;
? H002.互联网信息服务增值电信业务经营许可证或者网站备案证明;
? H003.第三方平台技术资质条件材料;
? H004.客户端软件安全配置信息;
? H005.开发安全方案、交易认证配置信息;
? H006.网络拓扑与安全设备部署配置信息;
? H007.互联网保险系统风险评估报告;
? H008.开发安全方案、交易支付记录;
? H009.第三方安全保障协议;
? H010.内容发布和变更审核等流程记录;
? H011.互联网保险业务网站安全提示信息;
? H012.假冒网站检查报告。
|
|
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理及数据中心机房管理负责人员,查阅网络拓扑架构图等文档了,解并评估保险机构的互联网保险业务网络配置情况,确认互联网保险业务网络配置是否符合国家及保监会的规范要求,网络接入地是否位于中华人民共和国境内(不含港、澳、台地区)。
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,了解保险机构的互联网保险业务网站资格许可情况,查阅相关资格及备案证明材料,并对比互联网行业主管部门的公示信息,确认保险机构的互联网保险业务网站是否已获得互联网信息服务增值电信业务经营许可证或已完成在互联网行业主管部门的网站备案,相关许可证或备案材料主体信息是否与互联网保险业务网站信息保持一致。
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,了解保险机构互联网保险业务的平台配置及运营维护情况,确认保险机构是否是基于第三方平台开展互联网保险业务,并查阅相关服务合同、服务协议和第三方平台相关资质证明文档,确认第三方平台的网络接入方式、互联网业务运营资格等是否满足国家、保监会及互联网行业主管部门相关规范要求,相关服务合同及服务协议是否明确双方的权责和义务。
|
|
|
IT审计专业人员应访谈保险机构互联网保险系统开发负责人员,查阅相关开发需求及设计说明文档,进行系统安全控制测试,评估互联网保险系统客户端软件的安全需求及日常运维情况,包括:
a) 确认是否采取了合理的安全技术控制措施确保客户端软件的完整性、程序逻辑机密性、客户端本地及网络传输时的数据安全及客户下载时的程序来源可靠性,以防止客户端软件被反编译篡改或数据泄露等安全风险;
b) 查阅相关软件安全评估记录及事件问题记录,确认保险机构是否定期对互联网保险系统客户端软件进行安全评估,对于安全评估及日常运营发现的问题是否及时进行整改。
|
|
IT审计专业人员应访谈保险机构互联网保险系统开发负责人员,查阅相关开发需求及设计说明文档、系统对交易过程的安全控制配置、应用系统日志文档,进行系统安全控制测试,了解并评估互联网保险系统的交易认证控制机制的充分性及有效性,确认保险机构在开展互联网保险业务时是否按照国家及保监会的规范要求采取可靠及有效的身份鉴别及交易认证手段,例如静态密码、动态口令卡、动态令牌、安全证书、USB Key、短信OTP认证、语音认证等一种或几种组合,以确保相关认证信息的机密性和完整性,并进一步验证确认客户端软件及系统后台对敏感信息(包括认证、交易信息及客户资料等)的保存及传输是否采用合法可靠的加密方式。
|
|
IT审计专业人员应访谈保险机构互联网保险系统开发负责人员,查阅相关开发安全方案及设计说明文档、应用系统日志文档,进行系统安全控制测试,了解并评估互联网保险系统的交易请求验证的安全控制机制的充分性及有效性,包括:
a) 确认互联网保险系统是否采用可靠的安全技术措施规范交易的请求入口和权限控制,例如根据客户权限不同对客户端的功能及数据访问请求进行过滤控制;
b) 除系统前端的数据安全过滤外,互联网保险系统后端是否对客户端提交的请求数据进行安全验证及控制,对请求数据和返回数据在满足业务需求的情况下是否遵循最少原则以确保系统的安全高效。
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,查阅相关系统设计及部署方案和网络拓扑架构图等文档,了解并评估互联网保险系统的网络规划及安全防护架构的充分性及有效性,包括:
a) 确认保险机构是否对互联网保险系统采取合理的网络安全保护,是否与外部互联网、保险机构内部业务系统及办公系统进行边界隔离,运营维护人员是否通过专门的运营终端进行系统维护操作,重大网络配置变更是否得到信息安全负责人员及管理层的严格评审批准。
b) 确认保险机构是否对互联网保险系统部署网络防火墙、入侵检测系统等网络安全防护设备,相关防护设备的配置是否合理,日常监控发现的异常问题是否得到及时响应处理。
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,查阅相关系统风险评估报告及审批记录,了解并评估互联网保险系统的安全风险控制情况,包括:
a) 确认保险机构是否定期(每年至少一次)对互联网保险系统进行完整的风险评估,相关风险评估的实施是否由保险机构内部独立于互联网保险开发、运营和管理的部门或外部专业评估机构进行,并查阅相关内部人员岗位职责说明、与外部专业评估机构签订的服务协议、机构资质证明材料及保密协议,确认是否保证评估工作的独立性和涉及敏感信息的保密性;
b) 查阅相关风险评估结果、整改方案及审批记录,确认风险评估发现问题得到及时响应处理,相关整改方案是否经过合理的评审、测试及实施。
|
|
IT审计专业人员应访谈保险机构互联网保险系统开发负责人员,查阅相关开发安全方案及设计说明文档、应用系统日志文档,进行系统安全控制测试,了解并评估互联网保险系统的数据安全保护机制的充分性及有效性,包括:
a) 确认互联网保险系统是否采用可靠的安全技术措施(例如专用密码输入控件、数据加密、SSL 通道加密传输等)保证客户端输入信息的机密性和完整性,相关加密算法、加密强度及密钥管理等是否符合国家及保监会的规范要求,进一步评估数据证书的有效性及是否限制客户端缓存敏感数据;
b) 确认互联网保险系统是否采用可靠的安全技术控制措施(例如图形验证码,短信通知等)保证系统返回到客户端重要信息的完整性,进一步评估图形验证码的干扰信息复杂度是否足够,短信通知是否与客户操作及交易唯一对应且明确操作或交易内容;
c) 确认互联网保险系统是否为客户提供必要的防钓鱼欺诈控制措施(例如提供预留验证信息功能、客户自定义界面样式、适当的安全提示及宣传等)。
|
|
IT审计专业人员应访谈保险机构互联网保险系统开发负责人员,查阅相关开发安全方案及设计说明文档、应用系统日志文档、支付数据在数据库中记录,进行安全控制测试,了解并评估互联网保险系统支付交易信息的安全控制情况,确认互联网保险系统是否对采用可靠的安全技术措施(例如网络带宽优先控制、SSL 通道加密传输、数字签名、对关键数据采用SHA1校验等)保证支付交易指令的及时性、准确性、保密性、完整性和不可抵赖性,是否按照国家、保监会及金融支付相关规定对客户的支付交易信息进行合理保留和销毁,是否以安全方式保存交易信息,对支付交易信息的访问是否经过合理授权和确认。
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,了解并评估保险机构互联网保险业务的平台配置及运营维护情况,确认保险机构是否是基于第三方平台开展互联网保险业务,并查阅相关服务合同、服务协议,确认相关协议是否明确双方权利和责任,是否明确要求第三方平台是否满足上述H2.1-- H2.7技术安全保障要求,并确认保险机构是否定期对第三方的服务质量及技术安全措施进行完整的评估,相关评估发现问题有否得到第三方平台的及时响应整改。
|
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,了解并评估互联网保险页面的内容管理机制和运维情况,包括:
a) 确认保险机构对于互联网保险页面是否建立了完善的内容管理流程制度,授权或制定专门人员对互联网保险页面的内容进行发布和变更管理;
b) 确认保险机构是否采用合理的流程确保互联网保险网站页面内容的信息来源的真实有效性,信息的编制、复核、审批、发布等步骤是否由独立人员进行操作,是否安全保留相关变更及审批记录。
|
|
IT审计专业人员应访谈保险机构互联网保险业务运营管理人员,了解并评估保险机构互联网保险的客户宣传机制,并查阅保险机构互联网保险网站页面及宣传彩页等,确认保险机构是否按照国家及保监会要求采取可靠的措施对互联网保险客户进行安全宣告及教育,措施应至少包括如下:
a) 通过各种宣传渠道向公众明示正确的互联网保险官方网址和呼叫中心号码;
b) 在网站首页显著位置开设互联网保险安全教育栏目;
c) 在互联网保险业务使用过程中应在网页上向用户提示相关的安全注意事项等。
|
|
IT审计专业人员应访谈保险机构互联网保险系统管理负责人员,查阅相关检查及处理记录,了解并评估保险机构针对假冒互联网保险网站及APP应用等违法犯罪行为的响应处理情况,包括:
a) 确认保险机构针对假冒网站及APP应用等违法犯罪行为是否建立完善的响应处理机制,例如:
? 检查网页对外链接的可靠性;
? 建立专门的公众举报渠道;
? 安排专人监测假冒网站及APP应用;
? 主动通知相关互联网内容服务平台清除假冒网站及APP应用;
? 向客户发布安全温馨提示;
b) 查阅相关事件记录,确认保险机构发现问题后是否及时采取防范措施,对客户进行安全宣告提示,通知互联网主管部门或公安机关,并同时报告保监会。
|