中國太平保險集團有限責任公司 科技運營部主要負責人 胡冰
打開網(wǎng)易新聞 查看精彩圖片
中國太平保險集團有限責任公司 科技運營部主要負責人 胡冰

保險業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

保險業(yè)數(shù)據(jù)安全面臨的挑戰(zhàn)

數(shù)字經(jīng)濟時代下數(shù)據(jù)安全風險在不斷攀升,數(shù)據(jù)泄露、數(shù)據(jù)篡改、非授權(quán)訪問、數(shù)據(jù)濫用、惡意軟件攻擊等事件時有發(fā)生,這些已成為各行各業(yè)數(shù)字化發(fā)展的嚴重阻礙。保險行業(yè)作為金融行業(yè)三大支柱產(chǎn)業(yè)之一,因其業(yè)務特性,需要處理大量的個人和企業(yè)敏感信息,包括客戶個人信息、健康記錄、財務狀況等,因此保險行業(yè)成為數(shù)據(jù)安全風險特別高的領(lǐng)域之一,保險集團公司在數(shù)據(jù)安全方面的責任尤為重大。一旦發(fā)生數(shù)據(jù)安全事件,不僅會對客戶造成重大損失,還會損壞公司的聲譽。大規(guī)模的數(shù)據(jù)泄露事件可能導致公眾對整個保險行業(yè)乃至金融體系的信任度下降,進而影響社會的整體信心和穩(wěn)定。關(guān)鍵基礎(chǔ)設(shè)施信息的泄露可能會被敵對勢力利用,威脅國家安全。

中國太平數(shù)據(jù)治理現(xiàn)狀

中國太平數(shù)據(jù)治理現(xiàn)狀

中國太平前期已建立了較為成熟的信息安全治理體系,為數(shù)據(jù)安全治理打下了堅實的基礎(chǔ)。一是完善的信息安全組織架構(gòu)。明確了由決策層、管理層、執(zhí)行層與監(jiān)督層組成的信息安全組織架構(gòu),成立了網(wǎng)絡與信息安全信息通報相關(guān)組織,強化信息安全事件的運營管理。二是健全的信息安全制度體系。制定了涵蓋存儲介質(zhì)、人員、數(shù)據(jù)、外包服務、網(wǎng)絡、物理環(huán)境、信息安全事件、應用系統(tǒng)、災備、終端與桌面系統(tǒng)、主機系統(tǒng)等方面的13項信息安全制度,為集團及下屬機構(gòu)開展信息安全管理和技術(shù)保護工作提供了統(tǒng)一的標準和指南。三是全面的技術(shù)保障體系。在物理安全、網(wǎng)絡安全、主機安全、應用安全、終端安全、數(shù)據(jù)保護等6大安全領(lǐng)域建立了相應的技術(shù)保障體系。包括滬深漢三地國家A類數(shù)據(jù)中心建設(shè)、完善的網(wǎng)絡安全分區(qū)域管理結(jié)構(gòu)、部署主機威脅感知平臺、嚴格落實國家網(wǎng)絡安全等級保護制度、統(tǒng)一的終端管理系統(tǒng)、建設(shè)災備系統(tǒng)和完整的數(shù)據(jù)備份機制、部署數(shù)據(jù)庫脫敏、數(shù)據(jù)庫審計、數(shù)據(jù)庫訪問代理等工具。四是全員信息安全意識培訓。通過在線教育平臺、內(nèi)部釣魚演練等形式,常態(tài)化對內(nèi)部員工和外部第三方人員開展信息安全意識培訓,持續(xù)提升全員安全意識。

數(shù)據(jù)要素市場建設(shè)和數(shù)字中國建設(shè)都對數(shù)據(jù)安全提出了更高和更新的要求,為貫徹和滿足國家及監(jiān)管要求,中國太平在當前信息安全體系建設(shè)的基礎(chǔ)上完善數(shù)據(jù)安全治理體系,有效應對數(shù)據(jù)安全風險,為數(shù)據(jù)的開放流動提供安全保障。

中國太平數(shù)據(jù)安全治理體系

中國太平數(shù)據(jù)安全治理體系

中國太平依托現(xiàn)有的信息安全工作體系,結(jié)合數(shù)據(jù)安全的工作特點,從組織及制度、保護技術(shù)、運營、人員能力、監(jiān)督評價5大方面,構(gòu)建了中國太平數(shù)據(jù)安全治理體系。

1.建“五位一體”的數(shù)據(jù)安全治理體系

(1)數(shù)據(jù)安全組織及制度體系。主要包括建立健全數(shù)據(jù)安全組織架構(gòu)及數(shù)據(jù)安全制度體系。在組織架構(gòu)方面,在信息安全組織架構(gòu)基礎(chǔ)上,明確數(shù)據(jù)安全治理主體和責任邊界,自上而下地建立從領(lǐng)導層面至基層執(zhí)行層面的管理組織架構(gòu),以保障數(shù)據(jù)安全管理策略、制度的統(tǒng)一制定和有效實施。在管理制度方面,制定了數(shù)據(jù)安全管理辦法及配套的數(shù)據(jù)分類分級管理辦法、數(shù)據(jù)全生命周期安全管理辦法、數(shù)據(jù)安全評估操作指南等制度,并對原信息安全管理制度進行修訂,形成了從集團到子公司、從基礎(chǔ)制度到操作指南“縱橫有序”的網(wǎng)絡和數(shù)據(jù)安全制度體系。

(2)數(shù)據(jù)安全技術(shù)體系。數(shù)據(jù)安全技術(shù)體系是結(jié)合自身使用場景,覆蓋數(shù)據(jù)全生命周期各階段安全要求的技術(shù)保護措施,中國太平建立了與制度流程相配套的技術(shù)體系并構(gòu)建了三大技術(shù)工具箱,按類型分基礎(chǔ)通用類、全生命周期防護類和平臺類。其中,基礎(chǔ)通用類是對各數(shù)據(jù)生命周期環(huán)節(jié)技術(shù)防護的基礎(chǔ)支撐技術(shù),建設(shè)了統(tǒng)一身份認證、雙因素令牌、數(shù)據(jù)分類分級、數(shù)據(jù)防泄漏、日志管理平臺、數(shù)據(jù)流轉(zhuǎn)安全監(jiān)測等工具。全生命周期防護類是覆蓋各數(shù)據(jù)活動環(huán)節(jié)的安全防護技術(shù),采用數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)庫訪問代理、數(shù)據(jù)庫審計、數(shù)據(jù)備份、數(shù)據(jù)銷毀、隱私計算等工具。平臺類工具仍在不斷地建設(shè)完善中,實現(xiàn)對上述各類單點數(shù)據(jù)安全工具進行統(tǒng)一管控、統(tǒng)一運營、統(tǒng)一監(jiān)測,形成事前預防、事中監(jiān)控、事后審計的整體管控。

(3)數(shù)據(jù)安全運營體系。數(shù)據(jù)安全運營是為了實現(xiàn)數(shù)據(jù)安全發(fā)現(xiàn)問題、驗證問題、分析問題、響應處置、解決問題并持續(xù)迭代優(yōu)化的運營管理過程,通過安全運營的統(tǒng)籌管理,滿足數(shù)據(jù)安全的動態(tài)性、持續(xù)性和整體性需求。

中國太平在已建立的網(wǎng)絡安全運營體系基礎(chǔ)上,統(tǒng)一建設(shè)網(wǎng)絡和數(shù)據(jù)安全運營機制,整合集團數(shù)據(jù)安全資源和能力,通過規(guī)范安全運營流程、量化安全運營考核指標、統(tǒng)一安全策略管理等,提升集團整體數(shù)據(jù)安全風險評估與防范、安全事件的響應與處理能力,持續(xù)推動數(shù)據(jù)安全策略、流程、風險發(fā)現(xiàn)等各環(huán)節(jié)的改進和優(yōu)化。

(4)數(shù)據(jù)安全人員能力體系。數(shù)據(jù)安全治理離不開人員的具體執(zhí)行,需要根據(jù)崗位職責、人員角色,明確相應的能力要求,并建立適配的數(shù)據(jù)安全人員能力培養(yǎng)機制。中國太平通過引入數(shù)據(jù)安全技術(shù)、管理等方面的優(yōu)質(zhì)培訓內(nèi)容,開展數(shù)據(jù)安全意識教育培訓并對法律法規(guī)、監(jiān)管要求及數(shù)據(jù)安全相關(guān)制度進行解讀和宣導,構(gòu)建“數(shù)據(jù)安全,人人有責”的企業(yè)文化。并不斷從內(nèi)挖潛充實集團整體數(shù)據(jù)安全治理人力資源,提升人員數(shù)據(jù)安全能力。

(5)數(shù)據(jù)安全監(jiān)督評價體系。數(shù)據(jù)安全監(jiān)督評價機制分為數(shù)據(jù)安全的監(jiān)督機制和評價機制。監(jiān)督機制方面,中國太平審計部門常態(tài)化開展安全監(jiān)督檢查,形成閉環(huán)管理,及時發(fā)現(xiàn)數(shù)據(jù)安全薄弱環(huán)節(jié),提升數(shù)據(jù)安全能力水平。評價機制方面,中國太平開展了年度數(shù)據(jù)安全風險自評估,堅持“以問題為導向”,及時發(fā)現(xiàn)及防范數(shù)據(jù)安全風險,保障數(shù)據(jù)安全。另外,根據(jù)業(yè)務開展情況及時開展數(shù)據(jù)共享、委托處理、數(shù)據(jù)出入境等業(yè)務場景的安全風險評估,真正做到讓數(shù)據(jù)安全流動,充分發(fā)掘數(shù)據(jù)價值。

2.對標國家標準,持續(xù)提升數(shù)據(jù)安全管理能力

為持續(xù)提升數(shù)據(jù)安全治理能力,中國太平積極對標《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T 37988-2019》國家標準,并于2024年5月通過了數(shù)據(jù)安全能力成熟度3級認證,成為首家獲此認證的金融央企保險集團公司。通過以評促建,不僅驗證了中國太平在組織建設(shè)、制度流程、技術(shù)工具、人員能力等方面的數(shù)據(jù)安全管理能力的成熟度,也充分展示了中國太平在數(shù)據(jù)安全能力建設(shè)方面的成效。

智能時代防范潛在風險的思考

智能時代防范潛在風險的思考

數(shù)據(jù)安全需要統(tǒng)籌發(fā)展和安全。在大數(shù)據(jù)蓬勃發(fā)展的今天,數(shù)據(jù)安全為數(shù)據(jù)高效流動提供了必要的保護,而數(shù)據(jù)高效流動又推動技術(shù)創(chuàng)新和產(chǎn)業(yè)升級。因此,統(tǒng)籌數(shù)據(jù)安全與發(fā)展顯得尤為重要。如中國太平在個人信息保護方面,修訂《集團客戶信息管理辦法》,完善個人信息保護管理機制,確保個人信息保護法等相關(guān)法律法規(guī)的有效落實,防范個人信息過度收集、濫用等風險,保障個人信息數(shù)據(jù)的安全存儲和合規(guī)使用。但隨著數(shù)據(jù)要素更大范圍的流動,就需要通過健全法律法規(guī)及相關(guān)數(shù)據(jù)政策的解釋細化,確保數(shù)據(jù)在合法合規(guī)的基礎(chǔ)上流通;另外,也要注重培育健康的數(shù)字生態(tài),確保在保障安全的前提下進行數(shù)據(jù)共享和技術(shù)合作。只有這樣,才能在確保安全的同時,推動數(shù)字經(jīng)濟的持續(xù)增長,實現(xiàn)高質(zhì)量發(fā)展與高水平安全的良性互動。

數(shù)據(jù)安全治理需要各方攜手共進。推動完善數(shù)據(jù)安全工作,需要國家、行業(yè)、企業(yè)、評估機構(gòu)多方參與、合力推進。企業(yè)內(nèi)部要加強技術(shù)部門與業(yè)務部門之間的溝通協(xié)作,通過跨部門的合作,共同開發(fā)既安全又高效的業(yè)務流程,確保技術(shù)解決方案能夠滿足業(yè)務需求的同時,不損害數(shù)據(jù)的安全性。外部與行業(yè)機構(gòu)共享最佳實踐,共同探討解決數(shù)據(jù)安全問題的新思路、新技術(shù)。同時,積極尋求行業(yè)協(xié)會的支持與指導,參與行業(yè)標準的制定過程,推動行業(yè)整體的數(shù)據(jù)安全水平提升。與其他行業(yè)領(lǐng)域合作,借鑒其他行業(yè)的成功經(jīng)驗和先進技術(shù),應對智能等新技術(shù)潛在風險,提升自身的數(shù)據(jù)安全管理水平。

隨著數(shù)字中國建設(shè)的推進,數(shù)據(jù)安全會越來越重要。只有統(tǒng)籌發(fā)展與安全,在筑牢安全堤壩的前提下進行數(shù)據(jù)匯聚和流動,才能更好地發(fā)揮數(shù)據(jù)價值。中國太平將不斷完善數(shù)據(jù)安全治理體系,堅守數(shù)據(jù)安全底線,為數(shù)字經(jīng)濟發(fā)展貢獻力量。

(此文刊發(fā)于《金融電子化》2024年10月上半月刊)