史特大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略發(fā)布者：本站     時間：2020-05-02 15:05:17

企業(yè)年金, 與社會養(yǎng)老保險和商業(yè)養(yǎng)老保險共同構(gòu)成我國的養(yǎng)老保險體系[1], 是介于二者之間的一種補充養(yǎng)老保險制度。經(jīng)過近30年的發(fā)展, 我國的企業(yè)年金不論在規(guī)模、覆蓋面還是在管理能力等方面都有了長足的進步。

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)的飛速發(fā)展, 企業(yè)年金管理機構(gòu)所提供的服務(wù)已基本實現(xiàn)了信息網(wǎng)絡(luò)化, 其年金管理信息系統(tǒng)已經(jīng)可以適應(yīng)多個業(yè)務(wù)運作主體、多種年金產(chǎn)品的操作需求, 并能夠兼容不同年金政策下多種業(yè)務(wù)合同、多種職工福利類型和不同客戶群體的投資偏好。服務(wù)的網(wǎng)絡(luò)化、數(shù)據(jù)化提升了年金管理機構(gòu)效率和客戶服務(wù)體驗的同時也帶來了新的問題———信息安全問題[2]。在互聯(lián)網(wǎng)大數(shù)據(jù)時代, 企業(yè)在推進其信息化進程中本就面臨著各種安全威脅, 加之企業(yè)年金管理業(yè)務(wù)涉及信息量龐大, 利益相關(guān)者眾多, 信息較為私密的特點, 為了保護大數(shù)據(jù)環(huán)境下企業(yè)年金信息的安全, 提高信息安全管理水平, 加強大數(shù)據(jù)信息安全管理體系研究刻不容緩。

所謂信息安全是指在已知安全等級條件下, 信息系統(tǒng)能夠抵御偶然事件或者惡意行為的能力, 這些行為會對系統(tǒng)中存儲、處理或傳輸?shù)男畔⒃斐善茐? 從而嚴重影響系統(tǒng)的服務(wù)能力[3]。在企業(yè)年金信息管理的過程中, 信息安全問題具體表現(xiàn)為由于人為或偶然性因素導致的客戶信息泄露、業(yè)務(wù)數(shù)據(jù)外流或篡改, 進而影響到年金計劃的整體安全性。

1、 企業(yè)年金信息安全管理存在的主要問題

對于企業(yè)年金管理機構(gòu)來說, 信息系統(tǒng)是主要的業(yè)務(wù)工具, 其中的數(shù)據(jù)更是其重要的資產(chǎn), 在大數(shù)據(jù)環(huán)境下這些數(shù)據(jù)資產(chǎn)的價值尤為突出。企業(yè)年金信息安全管理的特殊性在于:信息量大、信息私密性強、參與者眾多。

企業(yè)年金的信息安全管理是以信息系統(tǒng)為基礎(chǔ)的, 通常由受托人發(fā)起建設(shè)并管理, 以國內(nèi)大型保險公司T集團養(yǎng)老保險公司企業(yè)年金信息系統(tǒng)為例, 該系統(tǒng)由訪問、功能和數(shù)據(jù)等3個層次構(gòu)成, 如圖1所示:

圖1 企業(yè)年金信息系統(tǒng)結(jié)構(gòu)

企業(yè)年金管理過程的實現(xiàn)以信息系統(tǒng)為工具, 對外可以通過互聯(lián)網(wǎng)平臺向委托人及其職工提供查詢、投資、咨詢等基本業(yè)務(wù)和信息服務(wù), 同時為投管人、賬管人等機構(gòu)提供數(shù)據(jù)接口, 并向監(jiān)管部門提供相應(yīng)的監(jiān)管數(shù)據(jù)[4]。對內(nèi)部員工及管理者來說在辦公、財務(wù)等平臺的支持下可以完成年金管理的基本業(yè)務(wù), 并為工作人員建立互通機制。不僅如此, 信息系統(tǒng)的分析模塊可以自動收集委托人對于年金產(chǎn)品的個性化需求、投資偏好等信息, 進行深入的分析并進行后臺的綜合管理。大數(shù)據(jù)環(huán)境下, 這一流程中各主體在不同環(huán)節(jié)接收與發(fā)送的信息量的規(guī)模愈加可觀, 這就進一步加大了企業(yè)年金信息系統(tǒng)的安全隱患。對于企業(yè)年金管理機構(gòu)來說, 以信息系統(tǒng)為工具, 保護數(shù)據(jù)資產(chǎn), 維護信息安全也是其重要的業(yè)務(wù)內(nèi)容。

如圖1所示, 大數(shù)據(jù)環(huán)境下企業(yè)年金管理的信息安全問題主要來源于業(yè)務(wù)流程中與外界環(huán)境進行信息交互的數(shù)據(jù)接口, 主要包括年金管理機構(gòu)、委托人即客戶企業(yè)及其職工和第三方合作機構(gòu)等方面, 具體表現(xiàn)為:

1.1、 挖掘客戶信息, 保護力度不足

企業(yè)年金管理機構(gòu)在進行業(yè)務(wù)活動的過程中傾向于擴大客戶信息收集范圍并進行深度數(shù)據(jù)挖掘, 而對于信息保護的重視不足。對于商業(yè)化的年金管理機構(gòu)而言, 收集越多的客戶信息對其業(yè)務(wù)開展越有利, 利用先進的數(shù)據(jù)加工和數(shù)據(jù)挖掘技術(shù)還可以得到更有價值的信息。比如結(jié)合職工的年齡、收入、學歷等自然信息和其投資選擇信息, 可以判斷其投資習慣, 推斷其投資偏好, 從而用來為其推薦其他保險或理財產(chǎn)品;如果將企業(yè)信息和職工總體的收入和投資偏好信息相結(jié)合就可以幫助投管人制定更有吸引力的投資組合方案。這些信息及其分析結(jié)果都是年金管理機構(gòu)的隱形財富, 并且隨著數(shù)量的增長價值也在提升, 但如果其保密性或者安全性不能得到很好的保證, 則會成為風險隱患。另外, 操作失誤、維護不當?shù)热藶橐蛩匾彩菍е滦畔踩珕栴}的重要原因[6], 甚至可能發(fā)生工作人員出于經(jīng)濟利益等原因故意泄露客戶信息的情況[7]。

1.2、 網(wǎng)絡(luò)節(jié)點眾多, 存在安全隱患

企業(yè)年金管理信息系統(tǒng)的技術(shù)及其網(wǎng)絡(luò)維護也是導致信息安全問題的重要原因。一方面, 信息系統(tǒng)的設(shè)計軟件不能做到無懈可擊, 一定會存在漏洞和“后門”, 都有可能成為黑客攻擊的突破口, 其后果對企業(yè)年金管理信息系統(tǒng)來說是災(zāi)難性的。另一方面, 在互聯(lián)網(wǎng)大數(shù)據(jù)環(huán)境下, 企業(yè)年金業(yè)務(wù)在多個管理者之間基于開放的互聯(lián)網(wǎng)平臺運行, 涉及委托人、受托人、托管人、賬管人、投管人、監(jiān)管機構(gòu)等多方主體, 還包括外包服務(wù)供應(yīng)商, 網(wǎng)絡(luò)節(jié)點眾多, 大大增加了信息安全的關(guān)聯(lián)風險。

1.3、 管理能力有限, 疏于安全管理

企業(yè)年金計劃的直接客戶是委托人企業(yè), 作為參加年金計劃職工方的組織者和代表, 委托人一方面面向職工收集相關(guān)信息, 另一方面面向年金管理機構(gòu)溝通業(yè)務(wù)流程信息, 因此能夠掌握到企業(yè)年金最基本的信息, 包括:向受托人提交賬戶及其變更信息、待遇支付申請、個人賬戶轉(zhuǎn)移申請, 并向賬管人提供相關(guān)賬戶信息;向托管人繳納企業(yè)及職工費用, 并向賬管人提供繳費信息;與投管人溝通投資組合方案, 與職工溝通完成投資選擇, 分配收益, 并與賬管人共享分配信息。委托人方面任何人為或技術(shù)上的疏漏都會對企業(yè)年金管理信息系統(tǒng)的整體信息安全造成威脅。

1.4、 安全意識薄弱, 操作產(chǎn)生風險

委托人企業(yè)職工作為企業(yè)年金服務(wù)的最終客戶, 運作過程中得到的服務(wù)包括:申請及建立個人賬戶、變更信息、按月自動繳費、選擇投資工具、記錄投資收益、查詢賬戶余額, 以及養(yǎng)老金領(lǐng)取等。在日常使用企業(yè)年金信息系統(tǒng)時的主要權(quán)限則是針對個人賬戶的查詢、更新和投資選擇, 如使用過程中網(wǎng)絡(luò)安全意識薄弱, 或缺乏相關(guān)知識技能, 發(fā)生操作不當或被網(wǎng)絡(luò)攻擊, 會對個人賬戶信息產(chǎn)生風險, 但一般不會對信息系統(tǒng)整體造成大范圍的影響。

1.5、 合作機構(gòu)疏忽, 引發(fā)安全事故

在企業(yè)年金管理的業(yè)務(wù)中, 來自第三方服務(wù)的外包機構(gòu)主要負責數(shù)據(jù)庫的建立和維護, 在信息安全問題中起到至關(guān)重要的作用, 也是在大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理中較為薄弱的一環(huán)。來自第三方的風險, 一方面在于外包機構(gòu)的信息管理能力:其所建數(shù)據(jù)庫的安全等級以及維護能力, 比如2015年某大型保險集團發(fā)生的大規(guī)?？蛻粜畔⑿孤妒录? 就是由于數(shù)據(jù)錄入外包服務(wù)商系統(tǒng)漏洞導致的;另一方面在于外包機構(gòu)的信譽:如果外包機構(gòu)將獲得的信息資料惡意散播出去, 無疑會對企業(yè)年金及信息管理機構(gòu)產(chǎn)生極為不利的影響。

2、 大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略

2.1、 實施全業(yè)務(wù)流程信息安全管理

我國企業(yè)年金管理的治理結(jié)構(gòu)是以受托人為核心的, 接受委托人 (通常為參加企業(yè)年金計劃的企業(yè)) 的業(yè)務(wù)委托, 選擇并監(jiān)督其他管理者共同開展業(yè)務(wù) (具體業(yè)務(wù)流程如圖2所示) 。數(shù)據(jù)信息的流動貫穿企業(yè)年金服務(wù)的整個過程, 是年金管理業(yè)務(wù)的核心, 要保證信息安全, 這就對企業(yè)年金信息系統(tǒng)的功能、效率和安全性指標以及全流程的管理、控制工作都有較高的要求。

企業(yè)年金管理機構(gòu)對年金業(yè)務(wù)開展過程中信息安全問題預防和補救負有主要責任, 增加研發(fā)投入, 建設(shè)保護信息安全的技術(shù)系統(tǒng), 創(chuàng)造良好的信息安全環(huán)境, 采取有效的應(yīng)對措施防范信息泄露。管理機構(gòu)應(yīng)在人社部下發(fā)的《企業(yè)年金基金賬戶管理信息系統(tǒng)規(guī)范》等政策法規(guī)的指引下, 根據(jù)安全級別, 建立多層次防護策略, 建立防止信息泄露的長效機制和防御體系。判斷安全級別, 有效保護核心數(shù)據(jù), 降低企業(yè)年金管理信息系統(tǒng)信息泄露的風險。同時, 各管理機構(gòu)要加強信息溝通過程中的信息安全防護, 并管理好合作的數(shù)據(jù)錄入等第三方平臺, 做好風險評估和防范工作。

完善企業(yè)年金信息安全管理制度, 提升企業(yè)年金信息安全管理能力, 需要建立全流程的監(jiān)管體系, 對信息流動的整個過程進行實時監(jiān)控, 了解各環(huán)節(jié)的安全隱患、風險等級, 隨時掌握信息的傳遞及保密情況;需要所涉各主體的共同參與和配合, 明確流程中各環(huán)節(jié)的主要責任, 負責重點把控各業(yè)務(wù)環(huán)節(jié)的安全保障, 同時共同配合建立和執(zhí)行統(tǒng)一的安全管理政策和措施。