建設(shè)數(shù)據(jù)分類體系 防控數(shù)據(jù)泄露風(fēng)險

隨著保險行業(yè)對信息安全的日益重視以及大數(shù)據(jù)的使用和發(fā)展,越來越多的保險公司注意到目前信息安全體系中對核心的信息資產(chǎn)—數(shù)據(jù)安全的針對性管控能力需要進(jìn)一步提升,以保障各合作伙伴和客戶信息安全,主要體現(xiàn)在以下四點(diǎn):

業(yè)務(wù)需要:保險行業(yè)對數(shù)據(jù)資產(chǎn)日益重視,例如產(chǎn)品研發(fā)數(shù)據(jù)、客戶個人信息等。大數(shù)據(jù)營銷也推動著數(shù)據(jù)使用的深度和廣度。但對數(shù)據(jù)在企業(yè)內(nèi)外部使用交換過程中的安全如何有效管控需要有更針對性的管控框架與方法。

監(jiān)管需要:國資委、國家保監(jiān)局、上級控股公司對保險公司數(shù)據(jù)分類分級保密工作陸續(xù)出臺了不同的安全保護(hù)要求。

市場需要:國內(nèi)外企業(yè)在信息安全管理體系基礎(chǔ)上都在持續(xù)深化專項(xiàng)安全管理,包括數(shù)據(jù)安全、身份與訪問控制等領(lǐng)域,保險行業(yè)也應(yīng)該率先應(yīng)對。

合作伙伴:保險公司往往會與股東方、供應(yīng)商、合作伙伴進(jìn)行大量的內(nèi)外部數(shù)據(jù)交互,合作伙伴目前都有強(qiáng)烈意識,要求保險公司對交換的數(shù)據(jù)進(jìn)行充分保護(hù)以確保雙方的利益,因此,數(shù)據(jù)安全也是贏得合作伙伴信任和品牌聲譽(yù)的重要環(huán)節(jié)之一。

由此來看,保險公司需要綜合考慮各方的安全要求,建立與其數(shù)據(jù)情況相匹配的數(shù)據(jù)安全保護(hù)體系。而有效的數(shù)據(jù)安全是建立在準(zhǔn)確的目標(biāo)定位上的,即首先需要識別出哪些才是真正需要保護(hù)的目標(biāo)數(shù)據(jù),否則采用廣種薄收的形式,將無法把有限的資源投入到最值得保護(hù)的目標(biāo)對象上去。因此數(shù)據(jù)分類就成為數(shù)據(jù)安全建設(shè)的基礎(chǔ)。

在明確企業(yè)應(yīng)該進(jìn)行數(shù)據(jù)分類后,很重要的一點(diǎn)是應(yīng)考慮需要建立一個什么樣的數(shù)據(jù)分類體系,以保障信息的保密性、完整性和可用性。為了能成功地實(shí)現(xiàn)數(shù)據(jù)分類,企業(yè)應(yīng)該意識到數(shù)據(jù)分類應(yīng)首先通過分析信息開始。

步驟1:識別所需要保護(hù)的數(shù)據(jù)源

收集的方法通常包含書面調(diào)查、問卷調(diào)查、個人訪談,學(xué)術(shù)界也提出可以使用專家系統(tǒng)來進(jìn)行信息的分類,但該方法目前較為前瞻,但尚未存在相關(guān)的產(chǎn)品。如果數(shù)據(jù)源還沒有被明確識別出來,那么建議從開發(fā)人員、操作系統(tǒng)和數(shù)據(jù)庫管理員、業(yè)務(wù)骨干以及高級管理人員的訪談入手。在信息收集的過程中,應(yīng)該充分考慮到當(dāng)前的技術(shù)趨勢,如需要區(qū)分位于云計算和不同應(yīng)用系統(tǒng)中的數(shù)據(jù)。

完成此步驟后,已經(jīng)可以定義出數(shù)據(jù)源、數(shù)據(jù)保存的位置、現(xiàn)有的管控措施、數(shù)據(jù)所有人、數(shù)據(jù)管理人以及相關(guān)的數(shù)據(jù)類型。信息可以被單獨(dú)地列出或進(jìn)行分組,常見的區(qū)分方式為:地理位置、組織、技術(shù)或應(yīng)用程序生命周期。通過這個方法的不斷迭代,信息類別的范圍將被逐步擴(kuò)大,細(xì)化,顆粒度逐漸變小。

步驟2:識別現(xiàn)有的數(shù)據(jù)保護(hù)措施

需要根據(jù)數(shù)據(jù)的各個來源考慮數(shù)據(jù)的保護(hù)目標(biāo),例如一家公司的安全策略、現(xiàn)有組織架構(gòu)、數(shù)據(jù)隔離方法。這些信息可以從IT部門和業(yè)務(wù)部門處進(jìn)行了解,也可以考慮監(jiān)管和法律的要求。

一些業(yè)內(nèi)公認(rèn)的數(shù)據(jù)保護(hù)措施如下,應(yīng)根據(jù)企業(yè)業(yè)務(wù)的需求和信息保護(hù)的目標(biāo)進(jìn)行正對性的選擇:

身份驗(yàn)證:身份驗(yàn)證是最常見的一種保護(hù)措施,它可以幫助識別相關(guān)的用戶身份。

基于角色的訪問控制:如數(shù)據(jù)所有者、業(yè)務(wù)員、經(jīng)理、審計人員等,訪問控制列表是可以根據(jù)訪問級別進(jìn)行變化的,如只讀、修改、刪除等。

加密:對數(shù)據(jù)加密可以避免其被非法訪問及修改,在登錄過程中及保險訂單交易時這種機(jī)制可以保護(hù)敏感的個人信息及隱私。靈活的使用加密技術(shù)可以確保各種形式的信息始終收到保護(hù)。

行政控制:如后臺數(shù)據(jù)變更的控制、數(shù)據(jù)庫數(shù)據(jù)導(dǎo)出控制、職責(zé)的分離、輪崗制度和交叉培訓(xùn)等。

技術(shù)控制:較為典型的技術(shù)控制包括:防病毒軟件、磁盤與系統(tǒng)的冗余、網(wǎng)絡(luò)的隔離等。

驗(yàn)證:驗(yàn)證數(shù)據(jù)的保護(hù)措施也是同樣一種保護(hù)措施。如監(jiān)控、代碼審計、入侵檢測等。

步驟3:定義數(shù)據(jù)類別

數(shù)據(jù)的類別標(biāo)簽應(yīng)與它設(shè)定的保護(hù)目標(biāo)相一致。不同的用戶對于不同的數(shù)據(jù)類別會有這不同的理解,因?yàn)橛幸恍┨囟〝?shù)據(jù)會對特定的人員才較為敏感。比如保單上的客戶個人數(shù)據(jù)(身份證、姓名等)對個人而言比較敏感;而傭金率則對保險公司而言比較敏感;車輛信息對整車廠比較敏感。

步驟4:匹配不同數(shù)據(jù)類別的保護(hù)措施

將步驟2中識別出的保護(hù)措施,匹配到步驟3的分類中,以滿足數(shù)據(jù)的保護(hù)目標(biāo)。例如在第一次迭代時,需要從保密性、完整性、可用性、驗(yàn)證的角度確定數(shù)據(jù)保護(hù)四個不同程度的等級,分別是專有、需審批、內(nèi)部、公開。但是這不得不反復(fù)迭代多次,詳細(xì)步驟請參考步驟6。

步驟5:對數(shù)據(jù)進(jìn)行分類

在此步驟中,將驗(yàn)證步驟1中識別出的數(shù)據(jù)源與步驟4中的保護(hù)措施是否相適應(yīng),這一步將會對之前的假設(shè)造成挑戰(zhàn),如果步驟4中的保護(hù)措施不能完全對步驟1中的數(shù)據(jù)源進(jìn)行管控,則可以進(jìn)行再次識別。

步驟6:根據(jù)需要進(jìn)行重復(fù)

從這一步開始調(diào)整數(shù)據(jù)類別、保護(hù)級別和數(shù)據(jù)來源。如果在步驟3一開始的分類模型中只有三個數(shù)據(jù)源的分類可以使用,那么在下一次迭代時就需要再針對缺失部分進(jìn)行補(bǔ)充。

數(shù)據(jù)分類是一個持續(xù)性的過程。在公司信息安全策略中應(yīng)該明確數(shù)據(jù)分類的要求。建議保險公司制定程序并嚴(yán)格執(zhí)行,以確保正確標(biāo)識每個新的數(shù)據(jù)源和分類。并且除了技術(shù)方面的管控外,技術(shù)支持經(jīng)理、數(shù)據(jù)所有者、數(shù)據(jù)保管者和數(shù)據(jù)使用者的職責(zé)都必須被明確的定義,并建議納入個人績效考核中。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。