云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、區(qū)塊鏈等技術的快速應用加速了金融行業(yè)的數(shù)字化轉型,企業(yè)的數(shù)據(jù)隨之快速增長,并成為保險公司等金融企業(yè)推動業(yè)務創(chuàng)新、提升用戶價值的重要生產(chǎn)要素。但與此同時,在數(shù)字化轉型的推動下,金融企業(yè)的網(wǎng)絡邊界持續(xù)模糊化、數(shù)據(jù)暴露面也不斷增加,這帶來了巨大的數(shù)據(jù)泄露風險。數(shù)據(jù)統(tǒng)計顯示,2019年,金融行業(yè)是數(shù)據(jù)泄露的重災區(qū),占所有違規(guī)事件的12%。
對于保險等金融企業(yè)來說,保護數(shù)據(jù)安全也是合規(guī)性的要求。2019年,人行發(fā)布《金融科技發(fā)展規(guī)劃》,明確指出加強個人金融信息保護;2020年2月份,人行發(fā)布《個人金融信息保護技術規(guī)范》;6月份,《數(shù)據(jù)安全法》草案開始征求意見,數(shù)據(jù)安全在法律層面有了明確支撐。除此之外,在等保2.0中,也著重強調了數(shù)據(jù)安全。
觀之保險行業(yè),數(shù)據(jù)資產(chǎn)管理不健全,以及數(shù)據(jù)提取、數(shù)據(jù)共享外發(fā)、數(shù)據(jù)庫運維等過程中的數(shù)據(jù)泄漏是非常典型的風險場景,很多保險企業(yè)針對不同應用場景采取了不同的數(shù)據(jù)安全防護技術實踐,從行業(yè)整體的實踐情況來看,由于數(shù)據(jù)安全防護建設缺乏整體規(guī)劃、技術和管理體系不配套、建設目標不明確、安全和業(yè)務意見不統(tǒng)一等問題,導致數(shù)據(jù)安全防護效果沒有完全達到預期,構建完善的數(shù)據(jù)安全治理體系也就變得尤為迫切。
因此,對于數(shù)據(jù)安全治理體系建設來講,應該將數(shù)據(jù)的可視、可控、可審、可溯、可信,作為體系建設的核心工作目標。同時,由于數(shù)據(jù)是流動的,數(shù)據(jù)安全治理體系的建設也應該是動態(tài)可調整的。亞信安全建議保險企業(yè)遵循以下思路,實現(xiàn)“數(shù)據(jù)資產(chǎn)可視、數(shù)據(jù)使用可控、數(shù)據(jù)操作可審、數(shù)據(jù)泄漏可溯、數(shù)據(jù)開放可信”,最終形成可持續(xù)提升的數(shù)據(jù)安全治理體系能力:
•重視頂層規(guī)劃,基于現(xiàn)狀和合規(guī)要求,從企業(yè)高層確定數(shù)據(jù)安全治理的整體目標,進而形成數(shù)據(jù)安全治理核心需求;
•梳理數(shù)據(jù)資產(chǎn),基于數(shù)據(jù)分類分級標準確定優(yōu)先級,制定數(shù)據(jù)安全管理制度和配套安全策略;
•以現(xiàn)有安全技術實現(xiàn)為基礎,確定整體技術框架;
•按照緊急易落地、重點優(yōu)先的原則來落實工作,具有長遠戰(zhàn)略意義的納入后續(xù)規(guī)劃的方式先建設框架;
•基于成熟度評估模型對體系進行持續(xù)評價和完善。
劉洞賓強調,“要推動該體系的落地,我們建議保險企業(yè)圍繞數(shù)據(jù)安全治理策略,建設涵蓋合規(guī)知識庫、數(shù)據(jù)授權管理、數(shù)據(jù)分類分級定義、數(shù)據(jù)安全管控策略、數(shù)據(jù)安全態(tài)勢感知等能力為一體的數(shù)據(jù)安全治理平臺。并持續(xù)完善數(shù)據(jù)安全管理制度體系、技術體系、落地的工作流程體系、人才體系這四大體系,分別從管理制度、技術支撐、落地規(guī)范、人才培養(yǎng)等方面,支撐數(shù)據(jù)安全治理平臺的穩(wěn)定良性運轉。”
為協(xié)助保險企業(yè)更好地保護數(shù)據(jù)安全,亞信安全提供了“立體、聯(lián)動、可視”的數(shù)據(jù)安全解決方案,幫助保險企業(yè)構建完善的數(shù)據(jù)安全治理平臺基礎框架;通過去標識化的技術將安全融入業(yè)務,可以更好地保護身份隱私數(shù)據(jù)。同時,亞信安全還通過聯(lián)邦學習和多方計算等技術的實踐應用,幫助保險企業(yè)實現(xiàn)數(shù)據(jù)共享場景下的安全防護,從而在滿足隱私保護要求的前提下,實現(xiàn)安全數(shù)據(jù)共享。
