保险业数据安全面临的挑战
数字经济时代下数据安全风险在不断攀升,数据泄露、数据篡改、非授权访问、数据滥用、恶意软件攻击等事件时有发生,这些已成为各行各业数字化发展的严重阻碍。保险行业作为金融行业三大支柱产业之一,因其业务特性,需要处理大量的个人和企业敏感信息,包括客户个人信息、健康记录、财务状况等,因此保险行业成为数据安全风险特别高的领域之一,保险集团公司在数据安全方面的责任尤为重大。一旦发生数据安全事件,不仅会对客户造成重大损失,还会损坏公司的声誉。大规模的数据泄露事件可能导致公众对整个保险行业乃至金融体系的信任度下降,进而影响社会的整体信心和稳定。关键基础设施信息的泄露可能会被敌对势力利用,威胁国家安全。
中国太平数据治理现状
中国太平前期已建立了较为成熟的信息安全治理体系,为数据安全治理打下了坚实的基础。一是完善的信息安全组织架构。明确了由决策层、管理层、执行层与监督层组成的信息安全组织架构,成立了网络与信息安全信息通报相关组织,强化信息安全事件的运营管理。二是健全的信息安全制度体系。制定了涵盖存储介质、人员、数据、外包服务、网络、物理环境、信息安全事件、应用系统、灾备、终端与桌面系统、主机系统等方面的13项信息安全制度,为集团及下属机构开展信息安全管理和技术保护工作提供了统一的标准和指南。三是全面的技术保障体系。在物理安全、网络安全、主机安全、应用安全、终端安全、数据保护等6大安全领域建立了相应的技术保障体系。包括沪深汉三地国家A类数据中心建设、完善的网络安全分区域管理结构、部署主机威胁感知平台、严格落实国家网络安全等级保护制度、统一的终端管理系统、建设灾备系统和完整的数据备份机制、部署数据库脱敏、数据库审计、数据库访问代理等工具。四是全员信息安全意识培训。通过在线教育平台、内部钓鱼演练等形式,常态化对内部员工和外部第三方人员开展信息安全意识培训,持续提升全员安全意识。
数据要素市场建设和数字中国建设都对数据安全提出了更高和更新的要求,为贯彻和满足国家及监管要求,中国太平在当前信息安全体系建设的基础上完善数据安全治理体系,有效应对数据安全风险,为数据的开放流动提供安全保障。
中国太平数据安全治理体系
中国太平依托现有的信息安全工作体系,结合数据安全的工作特点,从组织及制度、保护技术、运营、人员能力、监督评价5大方面,构建了中国太平数据安全治理体系。
1.建“五位一体”的数据安全治理体系
(1)数据安全组织及制度体系。主要包括建立健全数据安全组织架构及数据安全制度体系。在组织架构方面,在信息安全组织架构基础上,明确数据安全治理主体和责任边界,自上而下地建立从领导层面至基层执行层面的管理组织架构,以保障数据安全管理策略、制度的统一制定和有效实施。在管理制度方面,制定了数据安全管理办法及配套的数据分类分级管理办法、数据全生命周期安全管理办法、数据安全评估操作指南等制度,并对原信息安全管理制度进行修订,形成了从集团到子公司、从基础制度到操作指南“纵横有序”的网络和数据安全制度体系。
(2)数据安全技术体系。数据安全技术体系是结合自身使用场景,覆盖数据全生命周期各阶段安全要求的技术保护措施,中国太平建立了与制度流程相配套的技术体系并构建了三大技术工具箱,按类型分基础通用类、全生命周期防护类和平台类。其中,基础通用类是对各数据生命周期环节技术防护的基础支撑技术,建设了统一身份认证、双因素令牌、数据分类分级、数据防泄漏、日志管理平台、数据流转安全监测等工具。全生命周期防护类是覆盖各数据活动环节的安全防护技术,采用数据脱敏、数据加密、数据库访问代理、数据库审计、数据备份、数据销毁、隐私计算等工具。平台类工具仍在不断地建设完善中,实现对上述各类单点数据安全工具进行统一管控、统一运营、统一监测,形成事前预防、事中监控、事后审计的整体管控。
(3)数据安全运营体系。数据安全运营是为了实现数据安全发现问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化的运营管理过程,通过安全运营的统筹管理,满足数据安全的动态性、持续性和整体性需求。
中国太平在已建立的网络安全运营体系基础上,统一建设网络和数据安全运营机制,整合集团数据安全资源和能力,通过规范安全运营流程、量化安全运营考核指标、统一安全策略管理等,提升集团整体数据安全风险评估与防范、安全事件的响应与处理能力,持续推动数据安全策略、流程、风险发现等各环节的改进和优化。
(4)数据安全人员能力体系。数据安全治理离不开人员的具体执行,需要根据岗位职责、人员角色,明确相应的能力要求,并建立适配的数据安全人员能力培养机制。中国太平通过引入数据安全技术、管理等方面的优质培训内容,开展数据安全意识教育培训并对法律法规、监管要求及数据安全相关制度进行解读和宣导,构建“数据安全,人人有责”的企业文化。并不断从内挖潜充实集团整体数据安全治理人力资源,提升人员数据安全能力。
(5)数据安全监督评价体系。数据安全监督评价机制分为数据安全的监督机制和评价机制。监督机制方面,中国太平审计部门常态化开展安全监督检查,形成闭环管理,及时发现数据安全薄弱环节,提升数据安全能力水平。评价机制方面,中国太平开展了年度数据安全风险自评估,坚持“以问题为导向”,及时发现及防范数据安全风险,保障数据安全。另外,根据业务开展情况及时开展数据共享、委托处理、数据出入境等业务场景的安全风险评估,真正做到让数据安全流动,充分发掘数据价值。
2.对标国家标准,持续提升数据安全管理能力
为持续提升数据安全治理能力,中国太平积极对标《信息安全技术数据安全能力成熟度模型GB/T 37988-2019》国家标准,并于2024年5月通过了数据安全能力成熟度3级认证,成为首家获此认证的金融央企保险集团公司。通过以评促建,不仅验证了中国太平在组织建设、制度流程、技术工具、人员能力等方面的数据安全管理能力的成熟度,也充分展示了中国太平在数据安全能力建设方面的成效。
智能时代防范潜在风险的思考
数据安全需要统筹发展和安全。在大数据蓬勃发展的今天,数据安全为数据高效流动提供了必要的保护,而数据高效流动又推动技术创新和产业升级。因此,统筹数据安全与发展显得尤为重要。如中国太平在个人信息保护方面,修订《集团客户信息管理办法》,完善个人信息保护管理机制,确保个人信息保护法等相关法律法规的有效落实,防范个人信息过度收集、滥用等风险,保障个人信息数据的安全存储和合规使用。但随着数据要素更大范围的流动,就需要通过健全法律法规及相关数据政策的解释细化,确保数据在合法合规的基础上流通;另外,也要注重培育健康的数字生态,确保在保障安全的前提下进行数据共享和技术合作。只有这样,才能在确保安全的同时,推动数字经济的持续增长,实现高质量发展与高水平安全的良性互动。
数据安全治理需要各方携手共进。推动完善数据安全工作,需要国家、行业、企业、评估机构多方参与、合力推进。企业内部要加强技术部门与业务部门之间的沟通协作,通过跨部门的合作,共同开发既安全又高效的业务流程,确保技术解决方案能够满足业务需求的同时,不损害数据的安全性。外部与行业机构共享最佳实践,共同探讨解决数据安全问题的新思路、新技术。同时,积极寻求行业协会的支持与指导,参与行业标准的制定过程,推动行业整体的数据安全水平提升。与其他行业领域合作,借鉴其他行业的成功经验和先进技术,应对智能等新技术潜在风险,提升自身的数据安全管理水平。
随着数字中国建设的推进,数据安全会越来越重要。只有统筹发展与安全,在筑牢安全堤坝的前提下进行数据汇聚和流动,才能更好地发挥数据价值。中国太平将不断完善数据安全治理体系,坚守数据安全底线,为数字经济发展贡献力量。
(此文刊发于《金融电子化》2024年10月上半月刊)