在保险行业普遍启动数字化转型的今天,数据已经成为保险企业的最重要资产之一,但数据安全威胁也如影随形。在近日召开的第十三届中国保险业信息化峰会上,亚信安全战略咨询总监刘洞宾分享了保险企业的数据安全治理之道,并提出应该构建"数据资产可视、数据使用可控、数据操作可审、数据泄漏可溯、数据开放可信"的数据安全治理体系,全面释放数据价值。
云计算、大数据、物联网、区块链等技术的快速应用加速了金融行业的数字化转型,企业的数据随之快速增长,并成为保险公司等金融企业推动业务创新、提升用户价值的重要生产要素。但与此同时,在数字化转型的推动下,金融企业的网络边界持续模糊化、数据暴露面也不断增加,这带来了巨大的数据泄露风险。数据统计显示,2019年,金融行业是数据泄露的重灾区,占所有违规事件的 12%。
对于保险等金融企业来说,保护数据安全也是合规性的要求。2019年,人行发布《金融科技发展规划》,明确指出加强个人金融信息保护;2020年2月份,人行发布《个人金融信息保护技术规范》;6月份,《数据安全法》草案开始征求意见,数据安全在法律层面有了明确支撑。除此之外,在等保2.0中,也着重强调了数据安全。
观之保险行业,数据资产管理不健全,以及数据提取、数据共享外发、数据库运维等过程中的数据泄漏是非常典型的风险场景,很多保险企业针对不同应用场景采取了不同的数据安全防护技术实践,从行业整体的实践情况来看,由于数据安全防护建设缺乏整体规划、技术和管理体系不配套、建设目标不明确、安全和业务意见不统一等问题,导致数据安全防护效果没有完全达到预期,构建完善的数据安全治理体系也就变得尤为迫切。
因此,对于数据安全治理体系建设来讲,应该将数据的可视、可控、可审、可溯、可信,作为体系建设的核心工作目标。同时,由于数据是流动的,数据安全治理体系的建设也应该是动态可调整的。亚信安全建议保险企业遵循以下思路,实现"数据资产可视、数据使用可控、数据操作可审、数据泄漏可溯、数据开放可信",最终形成可持续提升的数据安全治理体系能力:
· 重视顶层规划,基于现状和合规要求,从企业高层确定数据安全治理的整体目标,进而形成数据安全治理核心需求;
· 梳理数据资产,基于数据分类分级标准确定优先级,制定数据安全管理制度和配套安全策略;
· 以现有安全技术实现为基础,确定整体技术框架;
· 按照紧急易落地、重点优先的原则来落实工作,具有长远战略意义的纳入后续规划的方式先建设框架;
· 基于成熟度评估模型对体系进行持续评价和完善。
刘洞宾强调,"要推动该体系的落地,我们建议保险企业围绕数据安全治理策略,建设涵盖合规知识库、数据授权管理、数据分类分级定义、数据安全管控策略、数据安全态势感知等能力为一体的数据安全治理平台。并持续完善数据安全管理制度体系、技术体系、落地的工作流程体系、人才体系这四大体系,分别从管理制度、技术支撑、落地规范、人才培养等方面,支撑数据安全治理平台的稳定良性运转。"
为协助保险企业更好地保护数据安全,亚信安全提供了"立体、联动、可视"的数据安全解决方案,帮助保险企业构建完善的数据安全治理平台基础框架;通过去标识化的技术将安全融入业务,可以更好地保护身份隐私数据。同时,亚信安全还通过联邦学习和多方计算等技术的实践应用,帮助保险企业实现数据共享场景下的安全防护,从而在满足隐私保护要求的前提下,实现安全数据共享。