史特大數據環(huán)境下企業(yè)年金信息安全管理策略發(fā)布者：本站     時(shí)間：2020-05-02 15:05:17

企業(yè)年金, 與社會(huì )養老保險和商業(yè)養老保險共同構成我國的養老保險體系[1], 是介于二者之間的一種補充養老保險制度。經(jīng)過(guò)近30年的發(fā)展, 我國的企業(yè)年金不論在規模、覆蓋面還是在管理能力等方面都有了長(cháng)足的進(jìn)步。

隨著(zhù)互聯(lián)網(wǎng)、大數據技術(shù)的飛速發(fā)展, 企業(yè)年金管理機構所提供的服務(wù)已基本實(shí)現了信息網(wǎng)絡(luò )化, 其年金管理信息系統已經(jīng)可以適應多個(gè)業(yè)務(wù)運作主體、多種年金產(chǎn)品的操作需求, 并能夠兼容不同年金政策下多種業(yè)務(wù)合同、多種職工福利類(lèi)型和不同客戶(hù)群體的投資偏好。服務(wù)的網(wǎng)絡(luò )化、數據化提升了年金管理機構效率和客戶(hù)服務(wù)體驗的同時(shí)也帶來(lái)了新的問(wèn)題———信息安全問(wèn)題[2]。在互聯(lián)網(wǎng)大數據時(shí)代, 企業(yè)在推進(jìn)其信息化進(jìn)程中本就面臨著(zhù)各種安全威脅, 加之企業(yè)年金管理業(yè)務(wù)涉及信息量龐大, 利益相關(guān)者眾多, 信息較為私密的特點(diǎn), 為了保護大數據環(huán)境下企業(yè)年金信息的安全, 提高信息安全管理水平, 加強大數據信息安全管理體系研究刻不容緩。

所謂信息安全是指在已知安全等級條件下, 信息系統能夠抵御偶然事件或者惡意行為的能力, 這些行為會(huì )對系統中存儲、處理或傳輸的信息造成破壞, 從而嚴重影響系統的服務(wù)能力[3]。在企業(yè)年金信息管理的過(guò)程中, 信息安全問(wèn)題具體表現為由于人為或偶然性因素導致的客戶(hù)信息泄露、業(yè)務(wù)數據外流或篡改, 進(jìn)而影響到年金計劃的整體安全性。

1、 企業(yè)年金信息安全管理存在的主要問(wèn)題

對于企業(yè)年金管理機構來(lái)說(shuō), 信息系統是主要的業(yè)務(wù)工具, 其中的數據更是其重要的資產(chǎn), 在大數據環(huán)境下這些數據資產(chǎn)的價(jià)值尤為突出。企業(yè)年金信息安全管理的特殊性在于:信息量大、信息私密性強、參與者眾多。

企業(yè)年金的信息安全管理是以信息系統為基礎的, 通常由受托人發(fā)起建設并管理, 以國內大型保險公司T集團養老保險公司企業(yè)年金信息系統為例, 該系統由訪(fǎng)問(wèn)、功能和數據等3個(gè)層次構成, 如圖1所示:

圖1 企業(yè)年金信息系統結構

企業(yè)年金管理過(guò)程的實(shí)現以信息系統為工具, 對外可以通過(guò)互聯(lián)網(wǎng)平臺向委托人及其職工提供查詢(xún)、投資、咨詢(xún)等基本業(yè)務(wù)和信息服務(wù), 同時(shí)為投管人、賬管人等機構提供數據接口, 并向監管部門(mén)提供相應的監管數據[4]。對內部員工及管理者來(lái)說(shuō)在辦公、財務(wù)等平臺的支持下可以完成年金管理的基本業(yè)務(wù), 并為工作人員建立互通機制。不僅如此, 信息系統的分析模塊可以自動(dòng)收集委托人對于年金產(chǎn)品的個(gè)性化需求、投資偏好等信息, 進(jìn)行深入的分析并進(jìn)行后臺的綜合管理。大數據環(huán)境下, 這一流程中各主體在不同環(huán)節接收與發(fā)送的信息量的規模愈加可觀(guān), 這就進(jìn)一步加大了企業(yè)年金信息系統的安全隱患。對于企業(yè)年金管理機構來(lái)說(shuō), 以信息系統為工具, 保護數據資產(chǎn), 維護信息安全也是其重要的業(yè)務(wù)內容。

如圖1所示, 大數據環(huán)境下企業(yè)年金管理的信息安全問(wèn)題主要來(lái)源于業(yè)務(wù)流程中與外界環(huán)境進(jìn)行信息交互的數據接口, 主要包括年金管理機構、委托人即客戶(hù)企業(yè)及其職工和第三方合作機構等方面, 具體表現為:

1.1、 挖掘客戶(hù)信息, 保護力度不足

企業(yè)年金管理機構在進(jìn)行業(yè)務(wù)活動(dòng)的過(guò)程中傾向于擴大客戶(hù)信息收集范圍并進(jìn)行深度數據挖掘, 而對于信息保護的重視不足。對于商業(yè)化的年金管理機構而言, 收集越多的客戶(hù)信息對其業(yè)務(wù)開(kāi)展越有利, 利用先進(jìn)的數據加工和數據挖掘技術(shù)還可以得到更有價(jià)值的信息。比如結合職工的年齡、收入、學(xué)歷等自然信息和其投資選擇信息, 可以判斷其投資習慣, 推斷其投資偏好, 從而用來(lái)為其推薦其他保險或理財產(chǎn)品;如果將企業(yè)信息和職工總體的收入和投資偏好信息相結合就可以幫助投管人制定更有吸引力的投資組合方案。這些信息及其分析結果都是年金管理機構的隱形財富, 并且隨著(zhù)數量的增長(cháng)價(jià)值也在提升, 但如果其保密性或者安全性不能得到很好的保證, 則會(huì )成為風(fēng)險隱患。另外, 操作失誤、維護不當等人為因素也是導致信息安全問(wèn)題的重要原因[6], 甚至可能發(fā)生工作人員出于經(jīng)濟利益等原因故意泄露客戶(hù)信息的情況[7]。

1.2、 網(wǎng)絡(luò )節點(diǎn)眾多, 存在安全隱患

企業(yè)年金管理信息系統的技術(shù)及其網(wǎng)絡(luò )維護也是導致信息安全問(wèn)題的重要原因。一方面, 信息系統的設計軟件不能做到無(wú)懈可擊, 一定會(huì )存在漏洞和“后門(mén)”, 都有可能成為黑客攻擊的突破口, 其后果對企業(yè)年金管理信息系統來(lái)說(shuō)是災難性的。另一方面, 在互聯(lián)網(wǎng)大數據環(huán)境下, 企業(yè)年金業(yè)務(wù)在多個(gè)管理者之間基于開(kāi)放的互聯(lián)網(wǎng)平臺運行, 涉及委托人、受托人、托管人、賬管人、投管人、監管機構等多方主體, 還包括外包服務(wù)供應商, 網(wǎng)絡(luò )節點(diǎn)眾多, 大大增加了信息安全的關(guān)聯(lián)風(fēng)險。

1.3、 管理能力有限, 疏于安全管理

企業(yè)年金計劃的直接客戶(hù)是委托人企業(yè), 作為參加年金計劃職工方的組織者和代表, 委托人一方面面向職工收集相關(guān)信息, 另一方面面向年金管理機構溝通業(yè)務(wù)流程信息, 因此能夠掌握到企業(yè)年金最基本的信息, 包括:向受托人提交賬戶(hù)及其變更信息、待遇支付申請、個(gè)人賬戶(hù)轉移申請, 并向賬管人提供相關(guān)賬戶(hù)信息;向托管人繳納企業(yè)及職工費用, 并向賬管人提供繳費信息;與投管人溝通投資組合方案, 與職工溝通完成投資選擇, 分配收益, 并與賬管人共享分配信息。委托人方面任何人為或技術(shù)上的疏漏都會(huì )對企業(yè)年金管理信息系統的整體信息安全造成威脅。

1.4、 安全意識薄弱, 操作產(chǎn)生風(fēng)險

委托人企業(yè)職工作為企業(yè)年金服務(wù)的最終客戶(hù), 運作過(guò)程中得到的服務(wù)包括:申請及建立個(gè)人賬戶(hù)、變更信息、按月自動(dòng)繳費、選擇投資工具、記錄投資收益、查詢(xún)賬戶(hù)余額, 以及養老金領(lǐng)取等。在日常使用企業(yè)年金信息系統時(shí)的主要權限則是針對個(gè)人賬戶(hù)的查詢(xún)、更新和投資選擇, 如使用過(guò)程中網(wǎng)絡(luò )安全意識薄弱, 或缺乏相關(guān)知識技能, 發(fā)生操作不當或被網(wǎng)絡(luò )攻擊, 會(huì )對個(gè)人賬戶(hù)信息產(chǎn)生風(fēng)險, 但一般不會(huì )對信息系統整體造成大范圍的影響。

1.5、 合作機構疏忽, 引發(fā)安全事故

在企業(yè)年金管理的業(yè)務(wù)中, 來(lái)自第三方服務(wù)的外包機構主要負責數據庫的建立和維護, 在信息安全問(wèn)題中起到至關(guān)重要的作用, 也是在大數據環(huán)境下企業(yè)年金信息安全管理中較為薄弱的一環(huán)。來(lái)自第三方的風(fēng)險, 一方面在于外包機構的信息管理能力:其所建數據庫的安全等級以及維護能力, 比如2015年某大型保險集團發(fā)生的大規?？蛻?hù)信息泄露事件, 就是由于數據錄入外包服務(wù)商系統漏洞導致的;另一方面在于外包機構的信譽(yù):如果外包機構將獲得的信息資料惡意散播出去, 無(wú)疑會(huì )對企業(yè)年金及信息管理機構產(chǎn)生極為不利的影響。

2、 大數據環(huán)境下企業(yè)年金信息安全管理策略

2.1、 實(shí)施全業(yè)務(wù)流程信息安全管理

我國企業(yè)年金管理的治理結構是以受托人為核心的, 接受委托人 (通常為參加企業(yè)年金計劃的企業(yè)) 的業(yè)務(wù)委托, 選擇并監督其他管理者共同開(kāi)展業(yè)務(wù) (具體業(yè)務(wù)流程如圖2所示) 。數據信息的流動(dòng)貫穿企業(yè)年金服務(wù)的整個(gè)過(guò)程, 是年金管理業(yè)務(wù)的核心, 要保證信息安全, 這就對企業(yè)年金信息系統的功能、效率和安全性指標以及全流程的管理、控制工作都有較高的要求。

企業(yè)年金管理機構對年金業(yè)務(wù)開(kāi)展過(guò)程中信息安全問(wèn)題預防和補救負有主要責任, 增加研發(fā)投入, 建設保護信息安全的技術(shù)系統, 創(chuàng )造良好的信息安全環(huán)境, 采取有效的應對措施防范信息泄露。管理機構應在人社部下發(fā)的《企業(yè)年金基金賬戶(hù)管理信息系統規范》等政策法規的指引下, 根據安全級別, 建立多層次防護策略, 建立防止信息泄露的長(cháng)效機制和防御體系。判斷安全級別, 有效保護核心數據, 降低企業(yè)年金管理信息系統信息泄露的風(fēng)險。同時(shí), 各管理機構要加強信息溝通過(guò)程中的信息安全防護, 并管理好合作的數據錄入等第三方平臺, 做好風(fēng)險評估和防范工作。

完善企業(yè)年金信息安全管理制度, 提升企業(yè)年金信息安全管理能力, 需要建立全流程的監管體系, 對信息流動(dòng)的整個(gè)過(guò)程進(jìn)行實(shí)時(shí)監控, 了解各環(huán)節的安全隱患、風(fēng)險等級, 隨時(shí)掌握信息的傳遞及保密情況;需要所涉各主體的共同參與和配合, 明確流程中各環(huán)節的主要責任, 負責重點(diǎn)把控各業(yè)務(wù)環(huán)節的安全保障, 同時(shí)共同配合建立和執行統一的安全管理政策和措施。