云計算、大數據、物聯網、區塊鏈等技術的快速應用加速了金融行業的數字化轉型,企業的數據隨之快速增長,并成為保險公司等金融企業推動業務創新、提升用戶價值的重要生產要素。但與此同時,在數字化轉型的推動下,金融企業的網絡邊界持續模糊化、數據暴露面也不斷增加,這帶來了巨大的數據泄露風險。數據統計顯示,2019年,金融行業是數據泄露的重災區,占所有違規事件的12%。
對于保險等金融企業來說,保護數據安全也是合規性的要求。2019年,人行發布《金融科技發展規劃》,明確指出加強個人金融信息保護;2020年2月份,人行發布《個人金融信息保護技術規范》;6月份,《數據安全法》草案開始征求意見,數據安全在法律層面有了明確支撐。除此之外,在等保2.0中,也著重強調了數據安全。
觀之保險行業,數據資產管理不健全,以及數據提取、數據共享外發、數據庫運維等過程中的數據泄漏是非常典型的風險場景,很多保險企業針對不同應用場景采取了不同的數據安全防護技術實踐,從行業整體的實踐情況來看,由于數據安全防護建設缺乏整體規劃、技術和管理體系不配套、建設目標不明確、安全和業務意見不統一等問題,導致數據安全防護效果沒有完全達到預期,構建完善的數據安全治理體系也就變得尤為迫切。
因此,對于數據安全治理體系建設來講,應該將數據的可視、可控、可審、可溯、可信,作為體系建設的核心工作目標。同時,由于數據是流動的,數據安全治理體系的建設也應該是動態可調整的。亞信安全建議保險企業遵循以下思路,實現“數據資產可視、數據使用可控、數據操作可審、數據泄漏可溯、數據開放可信”,最終形成可持續提升的數據安全治理體系能力:
•重視頂層規劃,基于現狀和合規要求,從企業高層確定數據安全治理的整體目標,進而形成數據安全治理核心需求;
•梳理數據資產,基于數據分類分級標準確定優先級,制定數據安全管理制度和配套安全策略;
•以現有安全技術實現為基礎,確定整體技術框架;
•按照緊急易落地、重點優先的原則來落實工作,具有長遠戰略意義的納入后續規劃的方式先建設框架;
•基于成熟度評估模型對體系進行持續評價和完善。
劉洞賓強調,“要推動該體系的落地,我們建議保險企業圍繞數據安全治理策略,建設涵蓋合規知識庫、數據授權管理、數據分類分級定義、數據安全管控策略、數據安全態勢感知等能力為一體的數據安全治理平臺。并持續完善數據安全管理制度體系、技術體系、落地的工作流程體系、人才體系這四大體系,分別從管理制度、技術支撐、落地規范、人才培養等方面,支撐數據安全治理平臺的穩定良性運轉。”
為協助保險企業更好地保護數據安全,亞信安全提供了“立體、聯動、可視”的數據安全解決方案,幫助保險企業構建完善的數據安全治理平臺基礎框架;通過去標識化的技術將安全融入業務,可以更好地保護身份隱私數據。同時,亞信安全還通過聯邦學習和多方計算等技術的實踐應用,幫助保險企業實現數據共享場景下的安全防護,從而在滿足隱私保護要求的前提下,實現安全數據共享。
