隨著保險(xiǎn)行業(yè)對(duì)信息安全的日益重視以及大數(shù)據(jù)的使用和發(fā)展,越來(lái)越多的保險(xiǎn)公司注意到目前信息安全體系中對(duì)核心的信息資產(chǎn)—數(shù)據(jù)安全的針對(duì)性管控能力需要進(jìn)一步提升,以保障各合作伙伴和客戶信息安全,主要體現(xiàn)在以下四點(diǎn):

業(yè)務(wù)需要:保險(xiǎn)行業(yè)對(duì)數(shù)據(jù)資產(chǎn)日益重視,例如產(chǎn)品研發(fā)數(shù)據(jù)、客戶個(gè)人信息等。大數(shù)據(jù)營(yíng)銷(xiāo)也推動(dòng)著數(shù)據(jù)使用的深度和廣度。但對(duì)數(shù)據(jù)在企業(yè)內(nèi)外部使用交換過(guò)程中的安全如何有效管控需要有更針對(duì)性的管控框架與方法。

監(jiān)管需要:國(guó)資委、國(guó)家保監(jiān)局、上級(jí)控股公司對(duì)保險(xiǎn)公司數(shù)據(jù)分類(lèi)分級(jí)保密工作陸續(xù)出臺(tái)了不同的安全保護(hù)要求。

市場(chǎng)需要:國(guó)內(nèi)外企業(yè)在信息安全管理體系基礎(chǔ)上都在持續(xù)深化專項(xiàng)安全管理,包括數(shù)據(jù)安全、身份與訪問(wèn)控制等領(lǐng)域,保險(xiǎn)行業(yè)也應(yīng)該率先應(yīng)對(duì)。

合作伙伴:保險(xiǎn)公司往往會(huì)與股東方、供應(yīng)商、合作伙伴進(jìn)行大量的內(nèi)外部數(shù)據(jù)交互,合作伙伴目前都有強(qiáng)烈意識(shí),要求保險(xiǎn)公司對(duì)交換的數(shù)據(jù)進(jìn)行充分保護(hù)以確保雙方的利益,因此,數(shù)據(jù)安全也是贏得合作伙伴信任和品牌聲譽(yù)的重要環(huán)節(jié)之一。

由此來(lái)看,保險(xiǎn)公司需要綜合考慮各方的安全要求,建立與其數(shù)據(jù)情況相匹配的數(shù)據(jù)安全保護(hù)體系。而有效的數(shù)據(jù)安全是建立在準(zhǔn)確的目標(biāo)定位上的,即首先需要識(shí)別出哪些才是真正需要保護(hù)的目標(biāo)數(shù)據(jù),否則采用廣種薄收的形式,將無(wú)法把有限的資源投入到最值得保護(hù)的目標(biāo)對(duì)象上去。因此數(shù)據(jù)分類(lèi)就成為數(shù)據(jù)安全建設(shè)的基礎(chǔ)。

在明確企業(yè)應(yīng)該進(jìn)行數(shù)據(jù)分類(lèi)后,很重要的一點(diǎn)是應(yīng)考慮需要建立一個(gè)什么樣的數(shù)據(jù)分類(lèi)體系,以保障信息的保密性、完整性和可用性。為了能成功地實(shí)現(xiàn)數(shù)據(jù)分類(lèi),企業(yè)應(yīng)該意識(shí)到數(shù)據(jù)分類(lèi)應(yīng)首先通過(guò)分析信息開(kāi)始。

步驟1:識(shí)別所需要保護(hù)的數(shù)據(jù)源

收集的方法通常包含書(shū)面調(diào)查、問(wèn)卷調(diào)查、個(gè)人訪談,學(xué)術(shù)界也提出可以使用專家系統(tǒng)來(lái)進(jìn)行信息的分類(lèi),但該方法目前較為前瞻,但尚未存在相關(guān)的產(chǎn)品。如果數(shù)據(jù)源還沒(méi)有被明確識(shí)別出來(lái),那么建議從開(kāi)發(fā)人員、操作系統(tǒng)和數(shù)據(jù)庫(kù)管理員、業(yè)務(wù)骨干以及高級(jí)管理人員的訪談入手。在信息收集的過(guò)程中,應(yīng)該充分考慮到當(dāng)前的技術(shù)趨勢(shì),如需要區(qū)分位于云計(jì)算和不同應(yīng)用系統(tǒng)中的數(shù)據(jù)。

完成此步驟后,已經(jīng)可以定義出數(shù)據(jù)源、數(shù)據(jù)保存的位置、現(xiàn)有的管控措施、數(shù)據(jù)所有人、數(shù)據(jù)管理人以及相關(guān)的數(shù)據(jù)類(lèi)型。信息可以被單獨(dú)地列出或進(jìn)行分組,常見(jiàn)的區(qū)分方式為:地理位置、組織、技術(shù)或應(yīng)用程序生命周期。通過(guò)這個(gè)方法的不斷迭代,信息類(lèi)別的范圍將被逐步擴(kuò)大,細(xì)化,顆粒度逐漸變小。

步驟2:識(shí)別現(xiàn)有的數(shù)據(jù)保護(hù)措施

需要根據(jù)數(shù)據(jù)的各個(gè)來(lái)源考慮數(shù)據(jù)的保護(hù)目標(biāo),例如一家公司的安全策略、現(xiàn)有組織架構(gòu)、數(shù)據(jù)隔離方法。這些信息可以從IT部門(mén)和業(yè)務(wù)部門(mén)處進(jìn)行了解,也可以考慮監(jiān)管和法律的要求。

一些業(yè)內(nèi)公認(rèn)的數(shù)據(jù)保護(hù)措施如下,應(yīng)根據(jù)企業(yè)業(yè)務(wù)的需求和信息保護(hù)的目標(biāo)進(jìn)行正對(duì)性的選擇:

身份驗(yàn)證:身份驗(yàn)證是最常見(jiàn)的一種保護(hù)措施,它可以幫助識(shí)別相關(guān)的用戶身份。

基于角色的訪問(wèn)控制:如數(shù)據(jù)所有者、業(yè)務(wù)員、經(jīng)理、審計(jì)人員等,訪問(wèn)控制列表是可以根據(jù)訪問(wèn)級(jí)別進(jìn)行變化的,如只讀、修改、刪除等。

加密:對(duì)數(shù)據(jù)加密可以避免其被非法訪問(wèn)及修改,在登錄過(guò)程中及保險(xiǎn)訂單交易時(shí)這種機(jī)制可以保護(hù)敏感的個(gè)人信息及隱私。靈活的使用加密技術(shù)可以確保各種形式的信息始終收到保護(hù)。

行政控制:如后臺(tái)數(shù)據(jù)變更的控制、數(shù)據(jù)庫(kù)數(shù)據(jù)導(dǎo)出控制、職責(zé)的分離、輪崗制度和交叉培訓(xùn)等。

技術(shù)控制:較為典型的技術(shù)控制包括:防病毒軟件、磁盤(pán)與系統(tǒng)的冗余、網(wǎng)絡(luò)的隔離等。

驗(yàn)證:驗(yàn)證數(shù)據(jù)的保護(hù)措施也是同樣一種保護(hù)措施。如監(jiān)控、代碼審計(jì)、入侵檢測(cè)等。

步驟3:定義數(shù)據(jù)類(lèi)別

數(shù)據(jù)的類(lèi)別標(biāo)簽應(yīng)與它設(shè)定的保護(hù)目標(biāo)相一致。不同的用戶對(duì)于不同的數(shù)據(jù)類(lèi)別會(huì)有這不同的理解,因?yàn)橛幸恍┨囟〝?shù)據(jù)會(huì)對(duì)特定的人員才較為敏感。比如保單上的客戶個(gè)人數(shù)據(jù)(身份證、姓名等)對(duì)個(gè)人而言比較敏感;而傭金率則對(duì)保險(xiǎn)公司而言比較敏感;車(chē)輛信息對(duì)整車(chē)廠比較敏感。

步驟4:匹配不同數(shù)據(jù)類(lèi)別的保護(hù)措施

將步驟2中識(shí)別出的保護(hù)措施,匹配到步驟3的分類(lèi)中,以滿足數(shù)據(jù)的保護(hù)目標(biāo)。例如在第一次迭代時(shí),需要從保密性、完整性、可用性、驗(yàn)證的角度確定數(shù)據(jù)保護(hù)四個(gè)不同程度的等級(jí),分別是專有、需審批、內(nèi)部、公開(kāi)。但是這不得不反復(fù)迭代多次,詳細(xì)步驟請(qǐng)參考步驟6。

步驟5:對(duì)數(shù)據(jù)進(jìn)行分類(lèi)

在此步驟中,將驗(yàn)證步驟1中識(shí)別出的數(shù)據(jù)源與步驟4中的保護(hù)措施是否相適應(yīng),這一步將會(huì)對(duì)之前的假設(shè)造成挑戰(zhàn),如果步驟4中的保護(hù)措施不能完全對(duì)步驟1中的數(shù)據(jù)源進(jìn)行管控,則可以進(jìn)行再次識(shí)別。

步驟6:根據(jù)需要進(jìn)行重復(fù)

從這一步開(kāi)始調(diào)整數(shù)據(jù)類(lèi)別、保護(hù)級(jí)別和數(shù)據(jù)來(lái)源。如果在步驟3一開(kāi)始的分類(lèi)模型中只有三個(gè)數(shù)據(jù)源的分類(lèi)可以使用,那么在下一次迭代時(shí)就需要再針對(duì)缺失部分進(jìn)行補(bǔ)充。

數(shù)據(jù)分類(lèi)是一個(gè)持續(xù)性的過(guò)程。在公司信息安全策略中應(yīng)該明確數(shù)據(jù)分類(lèi)的要求。建議保險(xiǎn)公司制定程序并嚴(yán)格執(zhí)行,以確保正確標(biāo)識(shí)每個(gè)新的數(shù)據(jù)源和分類(lèi)。并且除了技術(shù)方面的管控外,技術(shù)支持經(jīng)理、數(shù)據(jù)所有者、數(shù)據(jù)保管者和數(shù)據(jù)使用者的職責(zé)都必須被明確的定義,并建議納入個(gè)人績(jī)效考核中。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。