云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、區(qū)塊鏈等技術(shù)的快速應(yīng)用加速了金融行業(yè)的數(shù)字化轉(zhuǎn)型,企業(yè)的數(shù)據(jù)隨之快速增長(zhǎng),并成為保險(xiǎn)公司等金融企業(yè)推動(dòng)業(yè)務(wù)創(chuàng)新、提升用戶(hù)價(jià)值的重要生產(chǎn)要素。但與此同時(shí),在數(shù)字化轉(zhuǎn)型的推動(dòng)下,金融企業(yè)的網(wǎng)絡(luò)邊界持續(xù)模糊化、數(shù)據(jù)暴露面也不斷增加,這帶來(lái)了巨大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。數(shù)據(jù)統(tǒng)計(jì)顯示,2019年,金融行業(yè)是數(shù)據(jù)泄露的重災(zāi)區(qū),占所有違規(guī)事件的12%。
對(duì)于保險(xiǎn)等金融企業(yè)來(lái)說(shuō),保護(hù)數(shù)據(jù)安全也是合規(guī)性的要求。2019年,人行發(fā)布《金融科技發(fā)展規(guī)劃》,明確指出加強(qiáng)個(gè)人金融信息保護(hù);2020年2月份,人行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》;6月份,《數(shù)據(jù)安全法》草案開(kāi)始征求意見(jiàn),數(shù)據(jù)安全在法律層面有了明確支撐。除此之外,在等保2.0中,也著重強(qiáng)調(diào)了數(shù)據(jù)安全。
觀之保險(xiǎn)行業(yè),數(shù)據(jù)資產(chǎn)管理不健全,以及數(shù)據(jù)提取、數(shù)據(jù)共享外發(fā)、數(shù)據(jù)庫(kù)運(yùn)維等過(guò)程中的數(shù)據(jù)泄漏是非常典型的風(fēng)險(xiǎn)場(chǎng)景,很多保險(xiǎn)企業(yè)針對(duì)不同應(yīng)用場(chǎng)景采取了不同的數(shù)據(jù)安全防護(hù)技術(shù)實(shí)踐,從行業(yè)整體的實(shí)踐情況來(lái)看,由于數(shù)據(jù)安全防護(hù)建設(shè)缺乏整體規(guī)劃、技術(shù)和管理體系不配套、建設(shè)目標(biāo)不明確、安全和業(yè)務(wù)意見(jiàn)不統(tǒng)一等問(wèn)題,導(dǎo)致數(shù)據(jù)安全防護(hù)效果沒(méi)有完全達(dá)到預(yù)期,構(gòu)建完善的數(shù)據(jù)安全治理體系也就變得尤為迫切。
因此,對(duì)于數(shù)據(jù)安全治理體系建設(shè)來(lái)講,應(yīng)該將數(shù)據(jù)的可視、可控、可審、可溯、可信,作為體系建設(shè)的核心工作目標(biāo)。同時(shí),由于數(shù)據(jù)是流動(dòng)的,數(shù)據(jù)安全治理體系的建設(shè)也應(yīng)該是動(dòng)態(tài)可調(diào)整的。亞信安全建議保險(xiǎn)企業(yè)遵循以下思路,實(shí)現(xiàn)“數(shù)據(jù)資產(chǎn)可視、數(shù)據(jù)使用可控、數(shù)據(jù)操作可審、數(shù)據(jù)泄漏可溯、數(shù)據(jù)開(kāi)放可信”,最終形成可持續(xù)提升的數(shù)據(jù)安全治理體系能力:
•重視頂層規(guī)劃,基于現(xiàn)狀和合規(guī)要求,從企業(yè)高層確定數(shù)據(jù)安全治理的整體目標(biāo),進(jìn)而形成數(shù)據(jù)安全治理核心需求;
•梳理數(shù)據(jù)資產(chǎn),基于數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)確定優(yōu)先級(jí),制定數(shù)據(jù)安全管理制度和配套安全策略;
•以現(xiàn)有安全技術(shù)實(shí)現(xiàn)為基礎(chǔ),確定整體技術(shù)框架;
•按照緊急易落地、重點(diǎn)優(yōu)先的原則來(lái)落實(shí)工作,具有長(zhǎng)遠(yuǎn)戰(zhàn)略意義的納入后續(xù)規(guī)劃的方式先建設(shè)框架;
•基于成熟度評(píng)估模型對(duì)體系進(jìn)行持續(xù)評(píng)價(jià)和完善。
劉洞賓強(qiáng)調(diào),“要推動(dòng)該體系的落地,我們建議保險(xiǎn)企業(yè)圍繞數(shù)據(jù)安全治理策略,建設(shè)涵蓋合規(guī)知識(shí)庫(kù)、數(shù)據(jù)授權(quán)管理、數(shù)據(jù)分類(lèi)分級(jí)定義、數(shù)據(jù)安全管控策略、數(shù)據(jù)安全態(tài)勢(shì)感知等能力為一體的數(shù)據(jù)安全治理平臺(tái)。并持續(xù)完善數(shù)據(jù)安全管理制度體系、技術(shù)體系、落地的工作流程體系、人才體系這四大體系,分別從管理制度、技術(shù)支撐、落地規(guī)范、人才培養(yǎng)等方面,支撐數(shù)據(jù)安全治理平臺(tái)的穩(wěn)定良性運(yùn)轉(zhuǎn)。”
為協(xié)助保險(xiǎn)企業(yè)更好地保護(hù)數(shù)據(jù)安全,亞信安全提供了“立體、聯(lián)動(dòng)、可視”的數(shù)據(jù)安全解決方案,幫助保險(xiǎn)企業(yè)構(gòu)建完善的數(shù)據(jù)安全治理平臺(tái)基礎(chǔ)框架;通過(guò)去標(biāo)識(shí)化的技術(shù)將安全融入業(yè)務(wù),可以更好地保護(hù)身份隱私數(shù)據(jù)。同時(shí),亞信安全還通過(guò)聯(lián)邦學(xué)習(xí)和多方計(jì)算等技術(shù)的實(shí)踐應(yīng)用,幫助保險(xiǎn)企業(yè)實(shí)現(xiàn)數(shù)據(jù)共享場(chǎng)景下的安全防護(hù),從而在滿足隱私保護(hù)要求的前提下,實(shí)現(xiàn)安全數(shù)據(jù)共享。
