隨著保險行業(yè)對信息安全的日益重視以及大數(shù)據(jù)的使用和發(fā)展,越來越多的保險公司注意到目前信息安全體系中對核心的信息資產(chǎn)—數(shù)據(jù)安全的針對性管控能力需要進一步提升,以保障各合作伙伴和客戶信息安全,主要體現(xiàn)在以下四點:

業(yè)務需要:保險行業(yè)對數(shù)據(jù)資產(chǎn)日益重視,例如產(chǎn)品研發(fā)數(shù)據(jù)、客戶個人信息等。大數(shù)據(jù)營銷也推動著數(shù)據(jù)使用的深度和廣度。但對數(shù)據(jù)在企業(yè)內(nèi)外部使用交換過程中的安全如何有效管控需要有更針對性的管控框架與方法。

監(jiān)管需要:國資委、國家保監(jiān)局、上級控股公司對保險公司數(shù)據(jù)分類分級保密工作陸續(xù)出臺了不同的安全保護要求。

市場需要:國內(nèi)外企業(yè)在信息安全管理體系基礎上都在持續(xù)深化專項安全管理,包括數(shù)據(jù)安全、身份與訪問控制等領域,保險行業(yè)也應該率先應對。

合作伙伴:保險公司往往會與股東方、供應商、合作伙伴進行大量的內(nèi)外部數(shù)據(jù)交互,合作伙伴目前都有強烈意識,要求保險公司對交換的數(shù)據(jù)進行充分保護以確保雙方的利益,因此,數(shù)據(jù)安全也是贏得合作伙伴信任和品牌聲譽的重要環(huán)節(jié)之一。

由此來看,保險公司需要綜合考慮各方的安全要求,建立與其數(shù)據(jù)情況相匹配的數(shù)據(jù)安全保護體系。而有效的數(shù)據(jù)安全是建立在準確的目標定位上的,即首先需要識別出哪些才是真正需要保護的目標數(shù)據(jù),否則采用廣種薄收的形式,將無法把有限的資源投入到最值得保護的目標對象上去。因此數(shù)據(jù)分類就成為數(shù)據(jù)安全建設的基礎。

在明確企業(yè)應該進行數(shù)據(jù)分類后,很重要的一點是應考慮需要建立一個什么樣的數(shù)據(jù)分類體系,以保障信息的保密性、完整性和可用性。為了能成功地實現(xiàn)數(shù)據(jù)分類,企業(yè)應該意識到數(shù)據(jù)分類應首先通過分析信息開始。

步驟1:識別所需要保護的數(shù)據(jù)源

收集的方法通常包含書面調(diào)查、問卷調(diào)查、個人訪談,學術界也提出可以使用專家系統(tǒng)來進行信息的分類,但該方法目前較為前瞻,但尚未存在相關的產(chǎn)品。如果數(shù)據(jù)源還沒有被明確識別出來,那么建議從開發(fā)人員、操作系統(tǒng)和數(shù)據(jù)庫管理員、業(yè)務骨干以及高級管理人員的訪談入手。在信息收集的過程中,應該充分考慮到當前的技術趨勢,如需要區(qū)分位于云計算和不同應用系統(tǒng)中的數(shù)據(jù)。

完成此步驟后,已經(jīng)可以定義出數(shù)據(jù)源、數(shù)據(jù)保存的位置、現(xiàn)有的管控措施、數(shù)據(jù)所有人、數(shù)據(jù)管理人以及相關的數(shù)據(jù)類型。信息可以被單獨地列出或進行分組,常見的區(qū)分方式為:地理位置、組織、技術或應用程序生命周期。通過這個方法的不斷迭代,信息類別的范圍將被逐步擴大,細化,顆粒度逐漸變小。

步驟2:識別現(xiàn)有的數(shù)據(jù)保護措施

需要根據(jù)數(shù)據(jù)的各個來源考慮數(shù)據(jù)的保護目標,例如一家公司的安全策略、現(xiàn)有組織架構、數(shù)據(jù)隔離方法。這些信息可以從IT部門和業(yè)務部門處進行了解,也可以考慮監(jiān)管和法律的要求。

一些業(yè)內(nèi)公認的數(shù)據(jù)保護措施如下,應根據(jù)企業(yè)業(yè)務的需求和信息保護的目標進行正對性的選擇:

身份驗證:身份驗證是最常見的一種保護措施,它可以幫助識別相關的用戶身份。

基于角色的訪問控制:如數(shù)據(jù)所有者、業(yè)務員、經(jīng)理、審計人員等,訪問控制列表是可以根據(jù)訪問級別進行變化的,如只讀、修改、刪除等。

加密:對數(shù)據(jù)加密可以避免其被非法訪問及修改,在登錄過程中及保險訂單交易時這種機制可以保護敏感的個人信息及隱私。靈活的使用加密技術可以確保各種形式的信息始終收到保護。

行政控制:如后臺數(shù)據(jù)變更的控制、數(shù)據(jù)庫數(shù)據(jù)導出控制、職責的分離、輪崗制度和交叉培訓等。

技術控制:較為典型的技術控制包括:防病毒軟件、磁盤與系統(tǒng)的冗余、網(wǎng)絡的隔離等。

驗證:驗證數(shù)據(jù)的保護措施也是同樣一種保護措施。如監(jiān)控、代碼審計、入侵檢測等。

步驟3:定義數(shù)據(jù)類別

數(shù)據(jù)的類別標簽應與它設定的保護目標相一致。不同的用戶對于不同的數(shù)據(jù)類別會有這不同的理解,因為有一些特定數(shù)據(jù)會對特定的人員才較為敏感。比如保單上的客戶個人數(shù)據(jù)(身份證、姓名等)對個人而言比較敏感;而傭金率則對保險公司而言比較敏感;車輛信息對整車廠比較敏感。

步驟4:匹配不同數(shù)據(jù)類別的保護措施

將步驟2中識別出的保護措施,匹配到步驟3的分類中,以滿足數(shù)據(jù)的保護目標。例如在第一次迭代時,需要從保密性、完整性、可用性、驗證的角度確定數(shù)據(jù)保護四個不同程度的等級,分別是專有、需審批、內(nèi)部、公開。但是這不得不反復迭代多次,詳細步驟請參考步驟6。

步驟5:對數(shù)據(jù)進行分類

在此步驟中,將驗證步驟1中識別出的數(shù)據(jù)源與步驟4中的保護措施是否相適應,這一步將會對之前的假設造成挑戰(zhàn),如果步驟4中的保護措施不能完全對步驟1中的數(shù)據(jù)源進行管控,則可以進行再次識別。

步驟6:根據(jù)需要進行重復

從這一步開始調(diào)整數(shù)據(jù)類別、保護級別和數(shù)據(jù)來源。如果在步驟3一開始的分類模型中只有三個數(shù)據(jù)源的分類可以使用,那么在下一次迭代時就需要再針對缺失部分進行補充。

數(shù)據(jù)分類是一個持續(xù)性的過程。在公司信息安全策略中應該明確數(shù)據(jù)分類的要求。建議保險公司制定程序并嚴格執(zhí)行,以確保正確標識每個新的數(shù)據(jù)源和分類。并且除了技術方面的管控外,技術支持經(jīng)理、數(shù)據(jù)所有者、數(shù)據(jù)保管者和數(shù)據(jù)使用者的職責都必須被明確的定義,并建議納入個人績效考核中。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。