保险企业信息安全建设规划.pdfVIP

保险企业信息安全建设规划 1 目 录 前言 3 一、 现状 -- 保险企业的关注点 5 二、 实践 -- 解决方案 7 三、展望 9 2 前言 保险企业的本质就是对风险进行管理，随着数字化技术的不断渗透，保险企业也在探寻信息安 全的新思路和新实践。随着黑客技术的不断演进，企业需要能够实时采取防范措施，这也意味 着风险管理模式也应不断改变和演进。 保险业作为社会治理体系的重要组成部分， 在网络信息安全保障体系中能够发挥风险管理作用。 据保监会统计，目前 13.7 亿中国人登记在册的保单大概有 14 亿张，平均下来大概每一个中国 人都有一张保单。安联全球企业及特殊风险发布的网络安全研究报告显示，中国每年预计会遭 受 600 亿美元的网络损失。 3 早期保险企业对信息安全的建设主要在建专网，保证内外网的物理隔离。随着互联网和移动技 术的发展， 保险的很多环节需要依赖网络， 通过线上、 App 和客户接触非常密切， 在这个阶段， 黑客利用漏洞对企业攻击的次数大幅增加。 2014 年开始，保险企业的数据量发生指数级激增， 加之物联网、 云计算、 大数据、 区块链和智能保险的快速发展， 数据的价值对企业越来越重要。 保险行业具有复杂的业务形态和密集的用户信息，系统和数据承载的价值极其容易成为黑客攻 击的目标。 4 一、 现状 -- 保险企业的关注点 保险业作为金融支柱性行业，首先必须保持其业务合规性，对法律、法规的遵从。面对外界的 多种攻击，企业应从安全体系框架入手，形成对信息安全的全面保护。 保险企业有哪些资产需要保护？首先是保险企业内部的信息，其次是客户的信息，包括客户基 本资料，保单信息，精算模型等。 5 如何建立信息安全防线？依托国家及监管机构的法规、条例，以业务系统和数据为核心，保障 数据安全，加强对系统的内部管控，形成对产品、用户、应用和数据四位一体的全生命周期安 全管控体系。 6 二、 实践 -- 解决方案 7 从数据定义、发现、分类、保护、监控等五个层面出发，对数据在创建、移动、使用、存储以 及销毁等数据生命周期的每个环节进行安全保护，从而实现全方位、多层次的数据安全整体防 护。 数据安全治理从三方面来实现对保险企业数据的保护。首先是数据梳理：通过数据梳理，了解 企业的核心数据资产在哪，谁能使用。其次要做数据访问控制：通过数据访问控制，实现数据 在不同场景中的使用安全。最后要进行数据安全合规检查，定期稽核数据使用的情况，了解数 据使用的安全性和合规性。