史特大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略發(fā)布者:本站 時間:2020-05-02 15:05:17
企業(yè)年金, 與社會養(yǎng)老保險和商業(yè)養(yǎng)老保險共同構成我國的養(yǎng)老保險體系[1], 是介于二者之間的一種補充養(yǎng)老保險制度。經(jīng)過近30年的發(fā)展, 我國的企業(yè)年金不論在規(guī)模、覆蓋面還是在管理能力等方面都有了長足的進步。
隨著互聯(lián)網(wǎng)、大數(shù)據(jù)技術的飛速發(fā)展, 企業(yè)年金管理機構所提供的服務已基本實現(xiàn)了信息網(wǎng)絡化, 其年金管理信息系統(tǒng)已經(jīng)可以適應多個業(yè)務運作主體、多種年金產品的操作需求, 并能夠兼容不同年金政策下多種業(yè)務合同、多種職工福利類型和不同客戶群體的投資偏好。服務的網(wǎng)絡化、數(shù)據(jù)化提升了年金管理機構效率和客戶服務體驗的同時也帶來了新的問題———信息安全問題[2]。在互聯(lián)網(wǎng)大數(shù)據(jù)時代, 企業(yè)在推進其信息化進程中本就面臨著各種安全威脅, 加之企業(yè)年金管理業(yè)務涉及信息量龐大, 利益相關者眾多, 信息較為私密的特點, 為了保護大數(shù)據(jù)環(huán)境下企業(yè)年金信息的安全, 提高信息安全管理水平, 加強大數(shù)據(jù)信息安全管理體系研究刻不容緩。
所謂信息安全是指在已知安全等級條件下, 信息系統(tǒng)能夠抵御偶然事件或者惡意行為的能力, 這些行為會對系統(tǒng)中存儲、處理或傳輸?shù)男畔⒃斐善茐? 從而嚴重影響系統(tǒng)的服務能力[3]。在企業(yè)年金信息管理的過程中, 信息安全問題具體表現(xiàn)為由于人為或偶然性因素導致的客戶信息泄露、業(yè)務數(shù)據(jù)外流或篡改, 進而影響到年金計劃的整體安全性。
1、 企業(yè)年金信息安全管理存在的主要問題
對于企業(yè)年金管理機構來說, 信息系統(tǒng)是主要的業(yè)務工具, 其中的數(shù)據(jù)更是其重要的資產, 在大數(shù)據(jù)環(huán)境下這些數(shù)據(jù)資產的價值尤為突出。企業(yè)年金信息安全管理的特殊性在于:信息量大、信息私密性強、參與者眾多。
企業(yè)年金的信息安全管理是以信息系統(tǒng)為基礎的, 通常由受托人發(fā)起建設并管理, 以國內大型保險公司T集團養(yǎng)老保險公司企業(yè)年金信息系統(tǒng)為例, 該系統(tǒng)由訪問、功能和數(shù)據(jù)等3個層次構成, 如圖1所示:
圖1 企業(yè)年金信息系統(tǒng)結構
企業(yè)年金管理過程的實現(xiàn)以信息系統(tǒng)為工具, 對外可以通過互聯(lián)網(wǎng)平臺向委托人及其職工提供查詢、投資、咨詢等基本業(yè)務和信息服務, 同時為投管人、賬管人等機構提供數(shù)據(jù)接口, 并向監(jiān)管部門提供相應的監(jiān)管數(shù)據(jù)[4]。對內部員工及管理者來說在辦公、財務等平臺的支持下可以完成年金管理的基本業(yè)務, 并為工作人員建立互通機制。不僅如此, 信息系統(tǒng)的分析模塊可以自動收集委托人對于年金產品的個性化需求、投資偏好等信息, 進行深入的分析并進行后臺的綜合管理。大數(shù)據(jù)環(huán)境下, 這一流程中各主體在不同環(huán)節(jié)接收與發(fā)送的信息量的規(guī)模愈加可觀, 這就進一步加大了企業(yè)年金信息系統(tǒng)的安全隱患。對于企業(yè)年金管理機構來說, 以信息系統(tǒng)為工具, 保護數(shù)據(jù)資產, 維護信息安全也是其重要的業(yè)務內容。
如圖1所示, 大數(shù)據(jù)環(huán)境下企業(yè)年金管理的信息安全問題主要來源于業(yè)務流程中與外界環(huán)境進行信息交互的數(shù)據(jù)接口, 主要包括年金管理機構、委托人即客戶企業(yè)及其職工和第三方合作機構等方面, 具體表現(xiàn)為:
1.1、 挖掘客戶信息, 保護力度不足
企業(yè)年金管理機構在進行業(yè)務活動的過程中傾向于擴大客戶信息收集范圍并進行深度數(shù)據(jù)挖掘, 而對于信息保護的重視不足。對于商業(yè)化的年金管理機構而言, 收集越多的客戶信息對其業(yè)務開展越有利, 利用先進的數(shù)據(jù)加工和數(shù)據(jù)挖掘技術還可以得到更有價值的信息。比如結合職工的年齡、收入、學歷等自然信息和其投資選擇信息, 可以判斷其投資習慣, 推斷其投資偏好, 從而用來為其推薦其他保險或理財產品;如果將企業(yè)信息和職工總體的收入和投資偏好信息相結合就可以幫助投管人制定更有吸引力的投資組合方案。這些信息及其分析結果都是年金管理機構的隱形財富, 并且隨著數(shù)量的增長價值也在提升, 但如果其保密性或者安全性不能得到很好的保證, 則會成為風險隱患。另外, 操作失誤、維護不當?shù)热藶橐蛩匾彩菍е滦畔踩珕栴}的重要原因[6], 甚至可能發(fā)生工作人員出于經(jīng)濟利益等原因故意泄露客戶信息的情況[7]。
1.2、 網(wǎng)絡節(jié)點眾多, 存在安全隱患
企業(yè)年金管理信息系統(tǒng)的技術及其網(wǎng)絡維護也是導致信息安全問題的重要原因。一方面, 信息系統(tǒng)的設計軟件不能做到無懈可擊, 一定會存在漏洞和“后門”, 都有可能成為黑客攻擊的突破口, 其后果對企業(yè)年金管理信息系統(tǒng)來說是災難性的。另一方面, 在互聯(lián)網(wǎng)大數(shù)據(jù)環(huán)境下, 企業(yè)年金業(yè)務在多個管理者之間基于開放的互聯(lián)網(wǎng)平臺運行, 涉及委托人、受托人、托管人、賬管人、投管人、監(jiān)管機構等多方主體, 還包括外包服務供應商, 網(wǎng)絡節(jié)點眾多, 大大增加了信息安全的關聯(lián)風險。
1.3、 管理能力有限, 疏于安全管理
企業(yè)年金計劃的直接客戶是委托人企業(yè), 作為參加年金計劃職工方的組織者和代表, 委托人一方面面向職工收集相關信息, 另一方面面向年金管理機構溝通業(yè)務流程信息, 因此能夠掌握到企業(yè)年金最基本的信息, 包括:向受托人提交賬戶及其變更信息、待遇支付申請、個人賬戶轉移申請, 并向賬管人提供相關賬戶信息;向托管人繳納企業(yè)及職工費用, 并向賬管人提供繳費信息;與投管人溝通投資組合方案, 與職工溝通完成投資選擇, 分配收益, 并與賬管人共享分配信息。委托人方面任何人為或技術上的疏漏都會對企業(yè)年金管理信息系統(tǒng)的整體信息安全造成威脅。
1.4、 安全意識薄弱, 操作產生風險
委托人企業(yè)職工作為企業(yè)年金服務的最終客戶, 運作過程中得到的服務包括:申請及建立個人賬戶、變更信息、按月自動繳費、選擇投資工具、記錄投資收益、查詢賬戶余額, 以及養(yǎng)老金領取等。在日常使用企業(yè)年金信息系統(tǒng)時的主要權限則是針對個人賬戶的查詢、更新和投資選擇, 如使用過程中網(wǎng)絡安全意識薄弱, 或缺乏相關知識技能, 發(fā)生操作不當或被網(wǎng)絡攻擊, 會對個人賬戶信息產生風險, 但一般不會對信息系統(tǒng)整體造成大范圍的影響。
1.5、 合作機構疏忽, 引發(fā)安全事故
在企業(yè)年金管理的業(yè)務中, 來自第三方服務的外包機構主要負責數(shù)據(jù)庫的建立和維護, 在信息安全問題中起到至關重要的作用, 也是在大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理中較為薄弱的一環(huán)。來自第三方的風險, 一方面在于外包機構的信息管理能力:其所建數(shù)據(jù)庫的安全等級以及維護能力, 比如2015年某大型保險集團發(fā)生的大規(guī)模客戶信息泄露事件, 就是由于數(shù)據(jù)錄入外包服務商系統(tǒng)漏洞導致的;另一方面在于外包機構的信譽:如果外包機構將獲得的信息資料惡意散播出去, 無疑會對企業(yè)年金及信息管理機構產生極為不利的影響。
2、 大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略
2.1、 實施全業(yè)務流程信息安全管理
我國企業(yè)年金管理的治理結構是以受托人為核心的, 接受委托人 (通常為參加企業(yè)年金計劃的企業(yè)) 的業(yè)務委托, 選擇并監(jiān)督其他管理者共同開展業(yè)務 (具體業(yè)務流程如圖2所示) 。數(shù)據(jù)信息的流動貫穿企業(yè)年金服務的整個過程, 是年金管理業(yè)務的核心, 要保證信息安全, 這就對企業(yè)年金信息系統(tǒng)的功能、效率和安全性指標以及全流程的管理、控制工作都有較高的要求。
企業(yè)年金管理機構對年金業(yè)務開展過程中信息安全問題預防和補救負有主要責任, 增加研發(fā)投入, 建設保護信息安全的技術系統(tǒng), 創(chuàng)造良好的信息安全環(huán)境, 采取有效的應對措施防范信息泄露。管理機構應在人社部下發(fā)的《企業(yè)年金基金賬戶管理信息系統(tǒng)規(guī)范》等政策法規(guī)的指引下, 根據(jù)安全級別, 建立多層次防護策略, 建立防止信息泄露的長效機制和防御體系。判斷安全級別, 有效保護核心數(shù)據(jù), 降低企業(yè)年金管理信息系統(tǒng)信息泄露的風險。同時, 各管理機構要加強信息溝通過程中的信息安全防護, 并管理好合作的數(shù)據(jù)錄入等第三方平臺, 做好風險評估和防范工作。
完善企業(yè)年金信息安全管理制度, 提升企業(yè)年金信息安全管理能力, 需要建立全流程的監(jiān)管體系, 對信息流動的整個過程進行實時監(jiān)控, 了解各環(huán)節(jié)的安全隱患、風險等級, 隨時掌握信息的傳遞及保密情況;需要所涉各主體的共同參與和配合, 明確流程中各環(huán)節(jié)的主要責任, 負責重點把控各業(yè)務環(huán)節(jié)的安全保障, 同時共同配合建立和執(zhí)行統(tǒng)一的安全管理政策和措施。
選擇我們,優(yōu)質服務,不容錯過
1. 優(yōu)秀的網(wǎng)絡資源,強大的網(wǎng)站優(yōu)化技術,穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設經(jīng)驗,優(yōu)秀的技術和設計水平,更放心
3. 全程省心服務,不必擔心自己不懂網(wǎng)絡,更省心。
------------------------------------------------------------
24小時聯(lián)系電話:021-58370032