以下解答摘自谷安天下咨詢顧問發表的相關文章!
一、信息安全管理體系已解決的保險公司信息安全問題
保險行業通過信息安全技術的實施,信息安全管理制度的實施,解決了大量具有普遍性的信息安全問題,並形成了行業在信息安全管理方面的特色和管理優勢。概要如下:
建立了比較詳盡的在安全策略,並且總公司的各項IT制度會直接下放到各級分支機構。
在安全組織方面,結合保監會建立「網路安全工作小組」的要求,成立的信息安全組織,由公司的主要領導擔任組長及副組長,組員由主要業務部門、人力資源部門、稽核部門及信息技術部門等部門組成。
在物理環境方面,機房建設按國家A類機房標准建設,符合國家的有關標准;機房實現授權出入管理,出入計算機機房有嚴格的審批程序和出入記錄,物理環境的防火、防水、空調、電力等基本達到安全要求。
建立了較合理的總公司與分支機構的網路基礎架構,網路核心交換機與路由器雙機容錯;公司重要的廣域網接入專用線路都有冗餘。
對網站採用了網頁防篡改技術並定期進行檢查,員工訪問互聯網進行了分級限制,外來人員訪問互聯網有專用網段。
對員工PC集中防病毒管理、集中補丁管理,定期對重要主機與網路設備進行安全檢查。
在計算機信息系統開發、管理與應用上有相對比較清晰和明確的職責分工的要求,在核心業務系統的設計、開發、測試環境基本能做到主機環境的分離,軟體源代碼通過版本控制器集中進行管理。
重要業務系統和數據均有良好的備份措施,特別是進行了數據異地存放等工作。
IT人員責任心強,工作勤勉,在超負荷的工作狀態下能基本維持系統正常運行。
二、信息安全管理體系正在解決的保險公司信息安全問題
當前保險行業信息安全現狀還有許多待改進與提高的地方,與國際標准和最佳信息安全實踐相比,還存在著一定的差距,特別是分支機構在資產管理、物理與環境安全、人力資源管理、通信與操作管理、訪問控制、軟體開發等方面還需付出較大的努力。
以下對信息安全管理體系正在解決的保險行業信息安全方面的主要表現在以下幾個方面:
信息安全投入
IT規劃
資產管理
人力資源安全
物理與環境安全
通信與操作管理
訪問控制
信息系統獲得、開發與維護
信息安全事件管理
㈡ 利用大數據分析將保險業風險防控做到極致
利用大數據分析將保險業風險防控做到極致
互聯時代,特別是移動互聯網日漸普及之後,大數據的搜集變得更為方便和可行,大數據的應用價值受到了各行各業的關注,甚至大數據本身也成了一個專門產業。保險作為基於大數法則運營發展的商業行為,對大數據的利用有著天然的傾向性。筆者圍繞風險防控這一經營實務,圍繞核保、核賠這兩大關鍵節點,探討大數據分析在風險防控中的應用,分析優勢性,指出限制性,並基於行業現狀對大數據分析的發展提出建議。
保險業面臨風險控制新挑戰
雖然風險防控是保險業發展過程中永恆的課題,但是隨著經濟社會的發展,新風險點層出不窮,惡意欺詐手段不斷翻新,保險業風險防控受到的更為嚴峻的沖擊。具體表現為:
1.行業競爭倒逼核保和理賠速度的提升,可能帶來核保、核賠質量下降的負面影響。從純理論角度和最理想化的角度來講,核保和核賠這兩個環節是可以為保險公司屏蔽所有逆選擇和道德風險的。但付出的代價是用大量的人力對每個投保和理賠申請都進行大量的細致調查。這在保險公司實際運營中是不可能的。特別是在行業競爭越來越激烈的今天,為提升客戶體驗,保險公司的投保條件愈發寬松,核保核賠速度快,甚至免核保、免體檢、快速賠付已經成為保險公司吸引客戶的「標配」所在。各家公司千方百計提高服務速度,核保核賠部門往往要承受客戶和銷售部門的雙重壓力。在此情況下,雖然保險公司的保費收入有了較大增長,但是承受的風險沖擊將明顯增大。公司管理層對業績增長的期待,或多或少沖淡了本該固若金湯的風控意識。
2.互聯網保險的發展,客觀上增加了風險控制的難度。如今,網路銷售、移動互聯網銷售日益被保險公司所重視。各種保險銷售網站,成為了保險公司新的保費增長點。甚至客戶通過手機微信等軟體終端,就可以輕松完成投保或理賠過程,在這種情況下,材料真實性驗證難度較大,信息不對稱性更為突出,機會型欺詐風險增加。異地出險的增加,也對理賠後續工作提出較高要求,容易出現保險服務流程銜接的空白。在傳統保險銷售過程中,銷售人員與客戶面對面地溝通,其實也是一種了解客戶的過程。但是互聯網保險的發展讓這個過程消失。核保部門失去了一道天然屏障。這些都是增加了風險控制的難度。
大數據分析在保險業風險防控中的實際意義
雖然互聯網技術的發展,給傳統思維下的風險防控帶來了巨大的挑戰。但是筆者認為,任何新技術的進步都是雙刃劍。而且解鈴還須系鈴人,互聯網技術帶來的「麻煩」也必將由互聯網技術本身來開出葯方。這個葯方就是大數據分析。
IBM公司曾用5個特徵來描述大數據,既大量、高速、多樣、低價值密度、真實性。這些特徵其實也表明了大數據對風險防控的意義。
1.大數據時代下,核保環節通過大數據分析有條件對客戶進行系統性風險掃描。具體來講,在傳統核保過程中,客戶告知什麼,保險公司就審核什麼。核保人員要從有限的告知信息中,發現風險點的蛛絲馬跡。這個過程中的風控主要依靠客戶的誠信水平和核保人員的工作經驗。而且大量的投保告知,也挑戰了客戶的耐心。面對大量的提問,客戶很有可能引起反感,不認真填寫告知內容或乾脆放棄購買保險產品。但在大數據條件下,保險公司有條件從資料庫中獲取客戶的大量相關信息。比如通過了解客戶的就醫記錄,可以准確推斷客戶的健康狀況;通過查詢客戶在各家保險公司的既往投保記錄,可以分析投保人有無重復投保、短期內大額投保等高風險行為,等等。這些都將打破既往核保的管理思路,使得核保過程更加精確化。同時客戶需要進行的投保告知大大減少,只要授權保險公司查詢相關信息,即可快速得到核保結果。
2.大數據時代下,核賠環節通過大數據分析更可能發現理賠欺詐的線索,堵住風險漏洞。傳統的核賠過程中,主要靠核賠人員的經驗甄別風險,靠調查人員有意識的排查堵住理賠欺詐的發生。這種情況下,人為製造保險事故、虛報並不真實存在的保險事故、誇大保險事故損失金額,都成為可能發生的情況。但在大數據條件下,保險公司不同地區的既往理賠數據,甚至不同保險公司之間的理賠數據有可能匯聚成一個超級資料庫。任何理賠申請,都可以先經過資料庫的檢驗。
3.大數據分析輔助風險控制的理論研究,已經有了一定的積累,為進一步應用打下了基礎。近年來,大數據的開發應用不僅得到了實務界的關注,也吸引了理論界進行更為細致的研究,並取得了一定成果。例如欺詐分析技術,就是綜合了大數據模型、統計技術和人工智慧在反保險欺詐領域的一項應用。目前這項技術已有了比較完整的理論模型,建立了相應的演算法體系,具體包括有監督演算法和無監督演算法。筆者認為,這些理論研究雖然對保險實務從業者來講有一些晦澀,但是今後的大數據分析甚至人工智慧在保險業的應用,就是建立在這些理論研究基礎之上的。
基於大數據技術提升保險業風險控制
結合大數據技術本身的發展要求,以及當前保險公司實際運營情況。筆者在這部分將提出大數據時代提升保險業風險控制的具體工作建議。
1.以資料庫建設為基礎,在內部數據資源整合的基礎上,爭取建立全行業共享的大數據平台。在這里所討論的所有大數據分析的優勢,都建立在保險公司能夠收集到海量有價值數據的基礎之上。這種數據資源的整理,首先是公司內部資源的整理。特別是對於混業經營的大型金融集團來說,內部已有的數據資源整合就已經是非常偉大的成就。要讓各家公司共享信息,註定是艱難的,這需要行業協會、監管部門的推動,需要各家公司站在更長遠的角度展望保險業的發展。
2.保險公司要千方百計提升IT技術水平,儲備大數據分析的技術力量。大數據分析對資料庫技術的要求是比較高的,公司網路系統和數據計算能力面臨考驗。更為重要的是,如果要想進一步開發大數據資源,就必須有專門的統計分析人才。技術儲備,不是過往運營數據分析等簡單的數據開發,而是一整套科學的體系。保險公司有必要提前進行技術儲備。
3.大數據分析過程中,要特別注意數據安全和客戶信息的保密管理。大數據和互聯網一樣,也是一把雙刃劍。保險公司挖掘好這座寶藏,能夠在風險防控上取得事半功倍的效果。但同時也擔負著維護數據安全的重任。海量的個人信息數據存儲在保險公司,一旦泄露後果不堪設想。單個的數據泄露就可能引起客戶的訴訟。批量的數據泄露,可能給公司帶來的就是滅頂之災。從法務角度來講,保險公司在引用客戶信息之前,要取得客戶授權,規避法律風險。同時要盡可能依靠大數據分析,通過簡單的客戶信息就推斷出某類業務的風險。
總之,風險控制是保險公司穩健經營的重要一環。在大數據時代,保險業必然要利用新技術手段,將風險防控工作做到極致,為公司和行業的發展創造價值。
㈢ 公司怎麼保證數據安全
對於醫療保險公司而言,昂楷科技作為資料庫領域的安全專家,建議從以下手段有效防範醫療數據泄密:
1、加強對系統漏洞的檢查:對應用系統、主機、資料庫系統等,使用專業的漏洞檢查工具進行掃描,對發現的安全問題進行提前整改;避免出現未進行的補丁升級、便面弱口令、避免低的安全策略配置。
2、從根源解決患者信息保密,從資料庫級別進行防控,從根源上徹底控制客戶數據信息的泄露,將患者信息、電子病歷、診斷信息中的社會保險號、住宅地址及收入數據等關鍵項數據,進行加密存儲,防止患者隱私信息集中泄露、統計行為批量進行;
3、變事後追查為主動防禦,通過加密技術,將患者信息數據與無關工作人員進行隔離,有效防止非法竊取數據行為的發生;通過資料庫防火牆技術,將資料庫的攻擊行為和患者信息的批量下載行為進行攔截。
4、變相互制約為權責分明,建立獨立於資料庫系統的安全許可權體系,進行許可權精細控制,使與醫療行為無關的DBA、網路維護人員不能看到具體的客戶的健康檔案、電子病歷等個人信息;
5、進行數據訪問行為審計,通過資料庫審計技術,將數據的訪問行為進行記錄和存檔,在發生安全事件時,做到快速定位。
㈣ 數據安全有哪些案例
「大數據時代,在充分挖掘和發揮大數據價值同時,解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。
員工監守自盜數億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網路黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟「安全港」法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。