最新无码国产aⅴ_日韩Av免费一级毛片_久久精品无码一区二区app_911国产免费无码专区

史特大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略發(fā)布者：本站     時(shí)間：2020-05-02 15:05:17

企業(yè)年金, 與社會養(yǎng)老保險(xiǎn)和商業(yè)養(yǎng)老保險(xiǎn)共同構(gòu)成我國的養(yǎng)老保險(xiǎn)體系[1], 是介于二者之間的一種補(bǔ)充養(yǎng)老保險(xiǎn)制度。經(jīng)過近30年的發(fā)展, 我國的企業(yè)年金不論在規(guī)模、覆蓋面還是在管理能力等方面都有了長足的進(jìn)步。

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)的飛速發(fā)展, 企業(yè)年金管理機(jī)構(gòu)所提供的服務(wù)已基本實(shí)現(xiàn)了信息網(wǎng)絡(luò)化, 其年金管理信息系統(tǒng)已經(jīng)可以適應(yīng)多個(gè)業(yè)務(wù)運(yùn)作主體、多種年金產(chǎn)品的操作需求, 并能夠兼容不同年金政策下多種業(yè)務(wù)合同、多種職工福利類型和不同客戶群體的投資偏好。服務(wù)的網(wǎng)絡(luò)化、數(shù)據(jù)化提升了年金管理機(jī)構(gòu)效率和客戶服務(wù)體驗(yàn)的同時(shí)也帶來了新的問題———信息安全問題[2]。在互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代, 企業(yè)在推進(jìn)其信息化進(jìn)程中本就面臨著各種安全威脅, 加之企業(yè)年金管理業(yè)務(wù)涉及信息量龐大, 利益相關(guān)者眾多, 信息較為私密的特點(diǎn), 為了保護(hù)大數(shù)據(jù)環(huán)境下企業(yè)年金信息的安全, 提高信息安全管理水平, 加強(qiáng)大數(shù)據(jù)信息安全管理體系研究刻不容緩。

所謂信息安全是指在已知安全等級條件下, 信息系統(tǒng)能夠抵御偶然事件或者惡意行為的能力, 這些行為會對系統(tǒng)中存儲、處理或傳輸?shù)男畔⒃斐善茐? 從而嚴(yán)重影響系統(tǒng)的服務(wù)能力[3]。在企業(yè)年金信息管理的過程中, 信息安全問題具體表現(xiàn)為由于人為或偶然性因素導(dǎo)致的客戶信息泄露、業(yè)務(wù)數(shù)據(jù)外流或篡改, 進(jìn)而影響到年金計(jì)劃的整體安全性。

1、 企業(yè)年金信息安全管理存在的主要問題

對于企業(yè)年金管理機(jī)構(gòu)來說, 信息系統(tǒng)是主要的業(yè)務(wù)工具, 其中的數(shù)據(jù)更是其重要的資產(chǎn), 在大數(shù)據(jù)環(huán)境下這些數(shù)據(jù)資產(chǎn)的價(jià)值尤為突出。企業(yè)年金信息安全管理的特殊性在于:信息量大、信息私密性強(qiáng)、參與者眾多。

企業(yè)年金的信息安全管理是以信息系統(tǒng)為基礎(chǔ)的, 通常由受托人發(fā)起建設(shè)并管理, 以國內(nèi)大型保險(xiǎn)公司T集團(tuán)養(yǎng)老保險(xiǎn)公司企業(yè)年金信息系統(tǒng)為例, 該系統(tǒng)由訪問、功能和數(shù)據(jù)等3個(gè)層次構(gòu)成, 如圖1所示:

圖1 企業(yè)年金信息系統(tǒng)結(jié)構(gòu)

企業(yè)年金管理過程的實(shí)現(xiàn)以信息系統(tǒng)為工具, 對外可以通過互聯(lián)網(wǎng)平臺向委托人及其職工提供查詢、投資、咨詢等基本業(yè)務(wù)和信息服務(wù), 同時(shí)為投管人、賬管人等機(jī)構(gòu)提供數(shù)據(jù)接口, 并向監(jiān)管部門提供相應(yīng)的監(jiān)管數(shù)據(jù)[4]。對內(nèi)部員工及管理者來說在辦公、財(cái)務(wù)等平臺的支持下可以完成年金管理的基本業(yè)務(wù), 并為工作人員建立互通機(jī)制。不僅如此, 信息系統(tǒng)的分析模塊可以自動(dòng)收集委托人對于年金產(chǎn)品的個(gè)性化需求、投資偏好等信息, 進(jìn)行深入的分析并進(jìn)行后臺的綜合管理。大數(shù)據(jù)環(huán)境下, 這一流程中各主體在不同環(huán)節(jié)接收與發(fā)送的信息量的規(guī)模愈加可觀, 這就進(jìn)一步加大了企業(yè)年金信息系統(tǒng)的安全隱患。對于企業(yè)年金管理機(jī)構(gòu)來說, 以信息系統(tǒng)為工具, 保護(hù)數(shù)據(jù)資產(chǎn), 維護(hù)信息安全也是其重要的業(yè)務(wù)內(nèi)容。

如圖1所示, 大數(shù)據(jù)環(huán)境下企業(yè)年金管理的信息安全問題主要來源于業(yè)務(wù)流程中與外界環(huán)境進(jìn)行信息交互的數(shù)據(jù)接口, 主要包括年金管理機(jī)構(gòu)、委托人即客戶企業(yè)及其職工和第三方合作機(jī)構(gòu)等方面, 具體表現(xiàn)為:

1.1、 挖掘客戶信息, 保護(hù)力度不足

企業(yè)年金管理機(jī)構(gòu)在進(jìn)行業(yè)務(wù)活動(dòng)的過程中傾向于擴(kuò)大客戶信息收集范圍并進(jìn)行深度數(shù)據(jù)挖掘, 而對于信息保護(hù)的重視不足。對于商業(yè)化的年金管理機(jī)構(gòu)而言, 收集越多的客戶信息對其業(yè)務(wù)開展越有利, 利用先進(jìn)的數(shù)據(jù)加工和數(shù)據(jù)挖掘技術(shù)還可以得到更有價(jià)值的信息。比如結(jié)合職工的年齡、收入、學(xué)歷等自然信息和其投資選擇信息, 可以判斷其投資習(xí)慣, 推斷其投資偏好, 從而用來為其推薦其他保險(xiǎn)或理財(cái)產(chǎn)品;如果將企業(yè)信息和職工總體的收入和投資偏好信息相結(jié)合就可以幫助投管人制定更有吸引力的投資組合方案。這些信息及其分析結(jié)果都是年金管理機(jī)構(gòu)的隱形財(cái)富, 并且隨著數(shù)量的增長價(jià)值也在提升, 但如果其保密性或者安全性不能得到很好的保證, 則會成為風(fēng)險(xiǎn)隱患。另外, 操作失誤、維護(hù)不當(dāng)?shù)热藶橐蛩匾彩菍?dǎo)致信息安全問題的重要原因[6], 甚至可能發(fā)生工作人員出于經(jīng)濟(jì)利益等原因故意泄露客戶信息的情況[7]。

1.2、 網(wǎng)絡(luò)節(jié)點(diǎn)眾多, 存在安全隱患

企業(yè)年金管理信息系統(tǒng)的技術(shù)及其網(wǎng)絡(luò)維護(hù)也是導(dǎo)致信息安全問題的重要原因。一方面, 信息系統(tǒng)的設(shè)計(jì)軟件不能做到無懈可擊, 一定會存在漏洞和“后門”, 都有可能成為黑客攻擊的突破口, 其后果對企業(yè)年金管理信息系統(tǒng)來說是災(zāi)難性的。另一方面, 在互聯(lián)網(wǎng)大數(shù)據(jù)環(huán)境下, 企業(yè)年金業(yè)務(wù)在多個(gè)管理者之間基于開放的互聯(lián)網(wǎng)平臺運(yùn)行, 涉及委托人、受托人、托管人、賬管人、投管人、監(jiān)管機(jī)構(gòu)等多方主體, 還包括外包服務(wù)供應(yīng)商, 網(wǎng)絡(luò)節(jié)點(diǎn)眾多, 大大增加了信息安全的關(guān)聯(lián)風(fēng)險(xiǎn)。

1.3、 管理能力有限, 疏于安全管理

企業(yè)年金計(jì)劃的直接客戶是委托人企業(yè), 作為參加年金計(jì)劃職工方的組織者和代表, 委托人一方面面向職工收集相關(guān)信息, 另一方面面向年金管理機(jī)構(gòu)溝通業(yè)務(wù)流程信息, 因此能夠掌握到企業(yè)年金最基本的信息, 包括:向受托人提交賬戶及其變更信息、待遇支付申請、個(gè)人賬戶轉(zhuǎn)移申請, 并向賬管人提供相關(guān)賬戶信息;向托管人繳納企業(yè)及職工費(fèi)用, 并向賬管人提供繳費(fèi)信息;與投管人溝通投資組合方案, 與職工溝通完成投資選擇, 分配收益, 并與賬管人共享分配信息。委托人方面任何人為或技術(shù)上的疏漏都會對企業(yè)年金管理信息系統(tǒng)的整體信息安全造成威脅。

1.4、 安全意識薄弱, 操作產(chǎn)生風(fēng)險(xiǎn)

委托人企業(yè)職工作為企業(yè)年金服務(wù)的最終客戶, 運(yùn)作過程中得到的服務(wù)包括:申請及建立個(gè)人賬戶、變更信息、按月自動(dòng)繳費(fèi)、選擇投資工具、記錄投資收益、查詢賬戶余額, 以及養(yǎng)老金領(lǐng)取等。在日常使用企業(yè)年金信息系統(tǒng)時(shí)的主要權(quán)限則是針對個(gè)人賬戶的查詢、更新和投資選擇, 如使用過程中網(wǎng)絡(luò)安全意識薄弱, 或缺乏相關(guān)知識技能, 發(fā)生操作不當(dāng)或被網(wǎng)絡(luò)攻擊, 會對個(gè)人賬戶信息產(chǎn)生風(fēng)險(xiǎn), 但一般不會對信息系統(tǒng)整體造成大范圍的影響。

1.5、 合作機(jī)構(gòu)疏忽, 引發(fā)安全事故

在企業(yè)年金管理的業(yè)務(wù)中, 來自第三方服務(wù)的外包機(jī)構(gòu)主要負(fù)責(zé)數(shù)據(jù)庫的建立和維護(hù), 在信息安全問題中起到至關(guān)重要的作用, 也是在大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理中較為薄弱的一環(huán)。來自第三方的風(fēng)險(xiǎn), 一方面在于外包機(jī)構(gòu)的信息管理能力:其所建數(shù)據(jù)庫的安全等級以及維護(hù)能力, 比如2015年某大型保險(xiǎn)集團(tuán)發(fā)生的大規(guī)模客戶信息泄露事件, 就是由于數(shù)據(jù)錄入外包服務(wù)商系統(tǒng)漏洞導(dǎo)致的;另一方面在于外包機(jī)構(gòu)的信譽(yù):如果外包機(jī)構(gòu)將獲得的信息資料惡意散播出去, 無疑會對企業(yè)年金及信息管理機(jī)構(gòu)產(chǎn)生極為不利的影響。

2、 大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略

2.1、 實(shí)施全業(yè)務(wù)流程信息安全管理

我國企業(yè)年金管理的治理結(jié)構(gòu)是以受托人為核心的, 接受委托人 (通常為參加企業(yè)年金計(jì)劃的企業(yè)) 的業(yè)務(wù)委托, 選擇并監(jiān)督其他管理者共同開展業(yè)務(wù) (具體業(yè)務(wù)流程如圖2所示) 。數(shù)據(jù)信息的流動(dòng)貫穿企業(yè)年金服務(wù)的整個(gè)過程, 是年金管理業(yè)務(wù)的核心, 要保證信息安全, 這就對企業(yè)年金信息系統(tǒng)的功能、效率和安全性指標(biāo)以及全流程的管理、控制工作都有較高的要求。

企業(yè)年金管理機(jī)構(gòu)對年金業(yè)務(wù)開展過程中信息安全問題預(yù)防和補(bǔ)救負(fù)有主要責(zé)任, 增加研發(fā)投入, 建設(shè)保護(hù)信息安全的技術(shù)系統(tǒng), 創(chuàng)造良好的信息安全環(huán)境, 采取有效的應(yīng)對措施防范信息泄露。管理機(jī)構(gòu)應(yīng)在人社部下發(fā)的《企業(yè)年金基金賬戶管理信息系統(tǒng)規(guī)范》等政策法規(guī)的指引下, 根據(jù)安全級別, 建立多層次防護(hù)策略, 建立防止信息泄露的長效機(jī)制和防御體系。判斷安全級別, 有效保護(hù)核心數(shù)據(jù), 降低企業(yè)年金管理信息系統(tǒng)信息泄露的風(fēng)險(xiǎn)。同時(shí), 各管理機(jī)構(gòu)要加強(qiáng)信息溝通過程中的信息安全防護(hù), 并管理好合作的數(shù)據(jù)錄入等第三方平臺, 做好風(fēng)險(xiǎn)評估和防范工作。

完善企業(yè)年金信息安全管理制度, 提升企業(yè)年金信息安全管理能力, 需要建立全流程的監(jiān)管體系, 對信息流動(dòng)的整個(gè)過程進(jìn)行實(shí)時(shí)監(jiān)控, 了解各環(huán)節(jié)的安全隱患、風(fēng)險(xiǎn)等級, 隨時(shí)掌握信息的傳遞及保密情況;需要所涉各主體的共同參與和配合, 明確流程中各環(huán)節(jié)的主要責(zé)任, 負(fù)責(zé)重點(diǎn)把控各業(yè)務(wù)環(huán)節(jié)的安全保障, 同時(shí)共同配合建立和執(zhí)行統(tǒng)一的安全管理政策和措施。