以下解答摘自谷安天下咨询顾问发表的相关文章!
一、信息安全管理体系已解决的保险公司信息安全问题
保险行业通过信息安全技术的实施,信息安全管理制度的实施,解决了大量具有普遍性的信息安全问题,并形成了行业在信息安全管理方面的特色和管理优势。概要如下:
建立了比较详尽的在安全策略,并且总公司的各项IT制度会直接下放到各级分支机构。
在安全组织方面,结合保监会建立“网络安全工作小组”的要求,成立的信息安全组织,由公司的主要领导担任组长及副组长,组员由主要业务部门、人力资源部门、稽核部门及信息技术部门等部门组成。
在物理环境方面,机房建设按国家A类机房标准建设,符合国家的有关标准;机房实现授权出入管理,出入计算机机房有严格的审批程序和出入记录,物理环境的防火、防水、空调、电力等基本达到安全要求。
建立了较合理的总公司与分支机构的网络基础架构,网络核心交换机与路由器双机容错;公司重要的广域网接入专用线路都有冗余。
对网站采用了网页防篡改技术并定期进行检查,员工访问互联网进行了分级限制,外来人员访问互联网有专用网段。
对员工PC集中防病毒管理、集中补丁管理,定期对重要主机与网络设备进行安全检查。
在计算机信息系统开发、管理与应用上有相对比较清晰和明确的职责分工的要求,在核心业务系统的设计、开发、测试环境基本能做到主机环境的分离,软件源代码通过版本控制器集中进行管理。
重要业务系统和数据均有良好的备份措施,特别是进行了数据异地存放等工作。
IT人员责任心强,工作勤勉,在超负荷的工作状态下能基本维持系统正常运行。
二、信息安全管理体系正在解决的保险公司信息安全问题
当前保险行业信息安全现状还有许多待改进与提高的地方,与国际标准和最佳信息安全实践相比,还存在着一定的差距,特别是分支机构在资产管理、物理与环境安全、人力资源管理、通信与操作管理、访问控制、软件开发等方面还需付出较大的努力。
以下对信息安全管理体系正在解决的保险行业信息安全方面的主要表现在以下几个方面:
信息安全投入
IT规划
资产管理
人力资源安全
物理与环境安全
通信与操作管理
访问控制
信息系统获得、开发与维护
信息安全事件管理
㈡ 利用大数据分析将保险业风险防控做到极致
利用大数据分析将保险业风险防控做到极致
互联时代,特别是移动互联网日渐普及之后,大数据的搜集变得更为方便和可行,大数据的应用价值受到了各行各业的关注,甚至大数据本身也成了一个专门产业。保险作为基于大数法则运营发展的商业行为,对大数据的利用有着天然的倾向性。笔者围绕风险防控这一经营实务,围绕核保、核赔这两大关键节点,探讨大数据分析在风险防控中的应用,分析优势性,指出限制性,并基于行业现状对大数据分析的发展提出建议。
保险业面临风险控制新挑战
虽然风险防控是保险业发展过程中永恒的课题,但是随着经济社会的发展,新风险点层出不穷,恶意欺诈手段不断翻新,保险业风险防控受到的更为严峻的冲击。具体表现为:
1.行业竞争倒逼核保和理赔速度的提升,可能带来核保、核赔质量下降的负面影响。从纯理论角度和最理想化的角度来讲,核保和核赔这两个环节是可以为保险公司屏蔽所有逆选择和道德风险的。但付出的代价是用大量的人力对每个投保和理赔申请都进行大量的细致调查。这在保险公司实际运营中是不可能的。特别是在行业竞争越来越激烈的今天,为提升客户体验,保险公司的投保条件愈发宽松,核保核赔速度快,甚至免核保、免体检、快速赔付已经成为保险公司吸引客户的“标配”所在。各家公司千方百计提高服务速度,核保核赔部门往往要承受客户和销售部门的双重压力。在此情况下,虽然保险公司的保费收入有了较大增长,但是承受的风险冲击将明显增大。公司管理层对业绩增长的期待,或多或少冲淡了本该固若金汤的风控意识。
2.互联网保险的发展,客观上增加了风险控制的难度。如今,网络销售、移动互联网销售日益被保险公司所重视。各种保险销售网站,成为了保险公司新的保费增长点。甚至客户通过手机微信等软件终端,就可以轻松完成投保或理赔过程,在这种情况下,材料真实性验证难度较大,信息不对称性更为突出,机会型欺诈风险增加。异地出险的增加,也对理赔后续工作提出较高要求,容易出现保险服务流程衔接的空白。在传统保险销售过程中,销售人员与客户面对面地沟通,其实也是一种了解客户的过程。但是互联网保险的发展让这个过程消失。核保部门失去了一道天然屏障。这些都是增加了风险控制的难度。
大数据分析在保险业风险防控中的实际意义
虽然互联网技术的发展,给传统思维下的风险防控带来了巨大的挑战。但是笔者认为,任何新技术的进步都是双刃剑。而且解铃还须系铃人,互联网技术带来的“麻烦”也必将由互联网技术本身来开出药方。这个药方就是大数据分析。
IBM公司曾用5个特征来描述大数据,既大量、高速、多样、低价值密度、真实性。这些特征其实也表明了大数据对风险防控的意义。
1.大数据时代下,核保环节通过大数据分析有条件对客户进行系统性风险扫描。具体来讲,在传统核保过程中,客户告知什么,保险公司就审核什么。核保人员要从有限的告知信息中,发现风险点的蛛丝马迹。这个过程中的风控主要依靠客户的诚信水平和核保人员的工作经验。而且大量的投保告知,也挑战了客户的耐心。面对大量的提问,客户很有可能引起反感,不认真填写告知内容或干脆放弃购买保险产品。但在大数据条件下,保险公司有条件从数据库中获取客户的大量相关信息。比如通过了解客户的就医记录,可以准确推断客户的健康状况;通过查询客户在各家保险公司的既往投保记录,可以分析投保人有无重复投保、短期内大额投保等高风险行为,等等。这些都将打破既往核保的管理思路,使得核保过程更加精确化。同时客户需要进行的投保告知大大减少,只要授权保险公司查询相关信息,即可快速得到核保结果。
2.大数据时代下,核赔环节通过大数据分析更可能发现理赔欺诈的线索,堵住风险漏洞。传统的核赔过程中,主要靠核赔人员的经验甄别风险,靠调查人员有意识的排查堵住理赔欺诈的发生。这种情况下,人为制造保险事故、虚报并不真实存在的保险事故、夸大保险事故损失金额,都成为可能发生的情况。但在大数据条件下,保险公司不同地区的既往理赔数据,甚至不同保险公司之间的理赔数据有可能汇聚成一个超级数据库。任何理赔申请,都可以先经过数据库的检验。
3.大数据分析辅助风险控制的理论研究,已经有了一定的积累,为进一步应用打下了基础。近年来,大数据的开发应用不仅得到了实务界的关注,也吸引了理论界进行更为细致的研究,并取得了一定成果。例如欺诈分析技术,就是综合了大数据模型、统计技术和人工智能在反保险欺诈领域的一项应用。目前这项技术已有了比较完整的理论模型,建立了相应的算法体系,具体包括有监督算法和无监督算法。笔者认为,这些理论研究虽然对保险实务从业者来讲有一些晦涩,但是今后的大数据分析甚至人工智能在保险业的应用,就是建立在这些理论研究基础之上的。
基于大数据技术提升保险业风险控制
结合大数据技术本身的发展要求,以及当前保险公司实际运营情况。笔者在这部分将提出大数据时代提升保险业风险控制的具体工作建议。
1.以数据库建设为基础,在内部数据资源整合的基础上,争取建立全行业共享的大数据平台。在这里所讨论的所有大数据分析的优势,都建立在保险公司能够收集到海量有价值数据的基础之上。这种数据资源的整理,首先是公司内部资源的整理。特别是对于混业经营的大型金融集团来说,内部已有的数据资源整合就已经是非常伟大的成就。要让各家公司共享信息,注定是艰难的,这需要行业协会、监管部门的推动,需要各家公司站在更长远的角度展望保险业的发展。
2.保险公司要千方百计提升IT技术水平,储备大数据分析的技术力量。大数据分析对数据库技术的要求是比较高的,公司网络系统和数据计算能力面临考验。更为重要的是,如果要想进一步开发大数据资源,就必须有专门的统计分析人才。技术储备,不是过往运营数据分析等简单的数据开发,而是一整套科学的体系。保险公司有必要提前进行技术储备。
3.大数据分析过程中,要特别注意数据安全和客户信息的保密管理。大数据和互联网一样,也是一把双刃剑。保险公司挖掘好这座宝藏,能够在风险防控上取得事半功倍的效果。但同时也担负着维护数据安全的重任。海量的个人信息数据存储在保险公司,一旦泄露后果不堪设想。单个的数据泄露就可能引起客户的诉讼。批量的数据泄露,可能给公司带来的就是灭顶之灾。从法务角度来讲,保险公司在引用客户信息之前,要取得客户授权,规避法律风险。同时要尽可能依靠大数据分析,通过简单的客户信息就推断出某类业务的风险。
总之,风险控制是保险公司稳健经营的重要一环。在大数据时代,保险业必然要利用新技术手段,将风险防控工作做到极致,为公司和行业的发展创造价值。
㈢ 公司怎么保证数据安全
对于医疗保险公司而言,昂楷科技作为数据库领域的安全专家,建议从以下手段有效防范医疗数据泄密:
1、加强对系统漏洞的检查:对应用系统、主机、数据库系统等,使用专业的漏洞检查工具进行扫描,对发现的安全问题进行提前整改;避免出现未进行的补丁升级、便面弱口令、避免低的安全策略配置。
2、从根源解决患者信息保密,从数据库级别进行防控,从根源上彻底控制客户数据信息的泄露,将患者信息、电子病历、诊断信息中的社会保险号、住宅地址及收入数据等关键项数据,进行加密存储,防止患者隐私信息集中泄露、统计行为批量进行;
3、变事后追查为主动防御,通过加密技术,将患者信息数据与无关工作人员进行隔离,有效防止非法窃取数据行为的发生;通过数据库防火墙技术,将数据库的攻击行为和患者信息的批量下载行为进行拦截。
4、变相互制约为权责分明,建立独立于数据库系统的安全权限体系,进行权限精细控制,使与医疗行为无关的DBA、网络维护人员不能看到具体的客户的健康档案、电子病历等个人信息;
5、进行数据访问行为审计,通过数据库审计技术,将数据的访问行为进行记录和存档,在发生安全事件时,做到快速定位。
㈣ 数据安全有哪些案例
“大数据时代,在充分挖掘和发挥大数据价值同时,解决好数据安全与个人信息保护等问题刻不容缓。”中国互联网协会副秘书长石现升在贵阳参会时指出。
员工监守自盗数亿条用户信息
今年初,公安部破获了一起特大窃取贩卖公民个人信息案。
被窃取的用户信息主要涉及交通、物流、医疗、社交和银行等领域数亿条,随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的这家公司员工。
业内数据安全专家评价称,这起案件泄露数亿条公民个人信息,其中主要问题,就在于内部数据安全管理缺陷。
国外情况也不容乐观。2016年9月22日,全球互联网巨头雅虎证实,在2014年至少有5亿用户的账户信息被人窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。
企业数据信息泄露后,很容易被不法分子用于网络黑灰产运作牟利,内中危害轻则窃财重则取命,去年8月,山东高考生徐玉玉被电信诈骗9900元学费致死案等数据安全事件,就可见一斑。
去年7月,微软Window10也因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告。
上海社会科学院互联网研究中心发布的《报告》指出,随着数据资源商业价值凸显,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家和数据生态治理水平,以及组织的数据安全能力都提出了全新挑战。
当前,重要商业网站海量用户数据是企业核心资产,也是民间黑客甚至国家级攻击的重要对象,重点企业数据安全管理更是面临严峻压力。
企业、组织机构等如何提升自身数据安全能力?
企业机构亟待提升数据安全管理能力
“大数据安全威胁渗透在数据生产、流通和消费等大数据产业的各个环节,包括数据源、大数据加工平台和大数据分析服务等环节的各类主体都是威胁源。”上海社科院信息所主任惠志斌向记者分析称,大数据安全事件风险成因复杂交织,既有外部攻击,也有内部泄密,既有技术漏洞,也有管理缺陷,既有新技术新模式触发的新风险,也有传统安全问题的持续触发。
5月27日,中国互联网协会副秘书长石现升称,互联网日益成为经济社会运行基础,网络数据安全意识、能力和保护手段正面临新挑战。
今年6月1日即将施行的《网络安全法》针对企业机构泄露数据的相关问题,重点做了强调。法案要求各类组织应切实承担保障数据安全的责任,即保密性、完整性和可用性。另外需保障个人对其个人信息的安全可控。
石现升介绍,实际早在2015年国务院就发布过《促进大数据发展行动纲要》,就明确要“健全大数据安全保障体系”、“强化安全支撑,提升基础设施关键设备安全可靠水平”。
“目前,很多企业和机构还并不知道该如何提升自己的数据安全管理能力,也不知道依据什么标准作为衡量。”一位业内人士分析称,问题的症结在于国内数据安全管理尚处起步阶段,很多企业机构都没有设立数据安全评估体系,或者没有完整的评估参考标准。
“大数据安全能力成熟度模型”已提国标申请
数博会期间,记者从“大数据安全产业实践高峰论坛”上了解到,为解决此问题,全国信息安全标准化技术委员会等职能部门与数据安全领域的标准化专家学者和产业代表企业协同,着手制定一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
阿里巴巴集团安全部总监郑斌介绍DSMM。
作为此标准项目的牵头起草方,阿里巴巴集团安全部总监郑斌介绍说,该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿,旨在与同行业分享阿里经验,提升行业整体安全能力。
“互联网用户的信息安全从来都不是某一家公司企业的事。”郑斌称,《大数据安全能力成熟度模型》的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和阿里云计算有限公司等业内权威数据安全机构、学术单位企业等共同合作提出意见。