信息安全贯穿在保险公司业务、治理和信息管理流程中，对公司的稳健经营、提升业务、公司治理等意义重大。由于保险业的自身特点，信息安全风险管理与其它行业的方法会有差异，公司管理层应结合保险公司实际情况，制定相应的信息安全风险管理制度。虽然目前已有ISO27001等优秀的信息安全标准，但脱离保险公司实际的信息安全建设及管理方法难免会遭遇水土不服，即使是金融业的银行、证券等企业的信息安全建设及管理经验也未必完全适用。所以，按照保险公司信息安全的特点，完善相关信息系统，制定措施对抗潜在信息安全隐患，是当前保险公司信息安全工作的当务之急。
　　保险公司在信息安全制度体系的建设和管理流程中存在诸多风险，包括但不限于和第三方中介公司的系统对接、应用系统的自身缺陷、软硬件适配的失灵、以及被黑客利用安全漏洞发起的攻击等。保险公司的信息安全既要把握整体结构，又要分辨轻重缓急，内容庞大而繁杂。信息安全的提升是一个持续迭代的过程，内容多，周期长，投入多，效果不明显。如何找到一个合适恰当的方法，既能在有限的范围内确保信息安全的有效性，又能使保险公司管理层充分理解信息安全的重要性和必要性，同时还能找到信息安全的漏洞并按照漏洞的优先级安排优化改进。
　　本文选择国内一家中美合资人寿保险公司(简称PFL保险公司)作为案例，对该公司当前信息系统建设成果的等级保护测试及评估(简称等保测评)的过程及结果展开分析研究，基于等保测评项目对其信息安全体系进行评估，诸如主机系统、网络、应用、数据、物理、制度、机构、人员、系统建设和系统运维等几个方面，并以团险核心业务系统的评估结果为例，进行研究并发现问题，结合公司实际给出改进建议。
　　针对PFL保险公司现有信息安全体系，结合公司业务发展实际，对其等保测评项目进行分析，识别出问题并对问题进行优先级划分，然后对所识别出的问题逐一进行分析，探寻优化点，给出改进建议，不仅最终帮助PFL公司达成其经营战略，也能为业内中小型保险公司基于等保测评的信息安全体系建设提供参考。
　　本研究以案例分析为主，结合文献研究与数据分析。其中，文献研究的目的在于梳理保险行业相关的信息安全建设进展及整体问题，是本研究的起点和基础部分;数据分析包括对公司等保测评发现问题的分析，原因调查记录、归类和总结等。
　　本研究的主要结论和研究建议汇总如下:
　　1)等保测评作为国家强制标准，对于改善保险公司信息安全风险管理体系架构，通过加强应用系统安全来提升保险公司抵御信息安全漏洞具有重要意义。
　　2)等保测评从主机系统、网络、应用、数据、物理、制度、机构、人员、系统建设和系统运维等几个方面对保险公司的信息系统及配套服务器、网络设备、安全设备、数据库、机房、重要终端、安全相关人员和管理文档等各个方面进行评估，其中信息安全风险评估的要点与国际上ISO27001等保持基本的一致。
　　3)随着公司的业务迅速发展，保费收入的快速增加，信息安全风险管理的投入也需要逐渐增加，用来提高公司的信息安全保障能力。作为国家标准之一，等级保护测评的必要性和重要性能让公司管理层更加容量理解和接受，进而能较容易地获得预算的支持。