• 快捷搜索
  • 全站搜索

构建与风险管理融合的信息安全机制

2018-01-30 15:43:22作者:中国太平洋保险(集团)股份有限公司 风险监控部总经理 王剑编辑:
随着我国保险业规模和深度的扩展,保险资产规模快速累积、横跨金融行业的大型金融保险集团开始出现,保险公司的信息安全问题可能快速扩散至金融行业甚至实体经济层面。因此,从维护国家的金融安全、维护实体经济稳定发展的角度,保险公司信息安全管理的重要性越来越高。

随着我国保险业规模和深度的扩展,保险资产规模快速累积、横跨金融行业的大型金融保险集团开始出现,保险公司的信息安全问题可能快速扩散至金融行业甚至实体经济层面。因此,从维护国家的金融安全、维护实体经济稳定发展的角度,保险公司信息安全管理的重要性越来越高。

图片2.jpg
中国太平洋保险(集团)股份有限公司 风险监控部总经理 王剑

信息技术推动太保集团风险管理体系的转变

        1.金融行业是社会经济中最重要的金融风险管理者。金融行业的特征是:一是资本密集,即金融机构庞大的资产规模和吸收的负债时刻面临着经济中的不确定性的威胁,需要持有大量的资本进行信用担保和风险抵冲;二是知识密集,金融与各行各业、家庭个人具有天然、稳定和不可或缺的财务联系,这种契约关系的存在性对从业人员的知识结构和水平产生极高的要求,不仅包括财务和商业知识,还包括技术知识、法律知识、心理知识;三是强烈的外部性,即金融服务在一定程度上具有社会公共品性质,关乎千家万户的钱袋子、关乎社会稳定、关乎经济体系运行的效率、甚至关乎技术创新,由于金融机构与客户之间存在严重的信息不对称,国家对金融业务和机构均实行严格的监管,使金融机构成为政府管理宏观经济、治理社会的重要市场工具。

        2.太保集团风险管理体系在传统上也是以资本核心。保险业是金融行业的重要组成部分,保险公司面临的风险主要是保险风险、市场风险、信用风险、流动性风险、操作风险、战略风险、声誉风险。全球普遍以资本为核心构建金融机构的风险管理体系和监管规则体系,主要计量前三大风险,适当考虑操作风险,辅助监管流动性等风险。关于偿付能力监管,目前出现两大趋势:一是国家性、地区性的保险公司偿付能力监管规则趋同,迈向国际统一;二是全球金融行业的资本监管规则趋同,即打破监管套利,构建横跨银行、证券、保险的统一的资本监管规则体系。太保集团一贯注重风险管理体系建设,以资本为核心的偿付能力风险管理理念已经建立,风险治理结构、制度机制、流程工具、专业机构和队伍得到长足发展,一个覆盖全面、全程、全员的风险管理体系基本搭建完成,为护航可持续的价值增长战略发挥了积极作用。

        3.信息技术应用广泛驱动太保集团风险管理从以资本为核心向资本与信息安全风险防控并重的方向转变。自2007年至今,太保集团先后通过实施ITSP、ITAP、ITMP项目,先后构建了面向内部作业用户的业务财务核心系统、面向内部管理用户的管理信息系统、以及面向渠道用户的移动化应用系统,用户数量从万、十万到百万级;在面向外部用户方面,拥有神行太保、在线商城、生活广场、太富钱包、微信公众号等互联网或移动应用;在内部管理上,具有财务、邮件、会议、流程管理和面向内部的大数据服务项目。在信息安全的管理和运行上,太保集团通过安全管理体系、内控管理体系以及风险管理体系三个管理体系协同运作,在信息科技风险监控评价体系以及ISO27001两项监管标准要求下,实现内控不留死角、安全风险可控、支持转型创新的目标。

        4.信息技术本身也为太保集团风险管理信息系统建立提供了可能。与公司各期信息技术发展规划同步,顺应国资委等五部委加强企业内部控制和保险监管“偿二代”体系建设趋势,对标国际同业最佳实践,太保集团自主开发了风险管理信息系统,以风险数据集市为源头,以关键风险指标、风险计量引擎、流程引擎为支撑,构建了高级管理层风险仪表盘、支持各级机构和部门履行风险内控管理职责,建立各级风险合规管理部门的日常工作管理平台。该系统夯实了集团化管理体系下集团履行风险监控职责的基础,提升风险合规管理工作的效率,也为今后监控信息安全风险提供了技术平台。

太保集团信息安全风险防控的实践

        1.三道防线为保障。太保集团建立了“三道防线”的风险防控体系:第一道是各子公司、分支机构业务条线,负责各自业务流程及职责范围内的风险管理;第二道是公司的风险合规管理部门,统筹和重点管控公司风险;第三道是内审部门,对太保集团的公司治理、风险管理和内部控制实施独立监督。在以上三道风险防控体系的架构中,信息安全的管理以集团IT中心内部独立的信息安全与内控部为组织依托,专司监督集团IT中心、各子公司、各级分支机构的信息安全管理制度设计和执行情况,随时通过信息系统以及合规风险兼职人员对包括信息安全在内的各类IT风险进行监控和报告。同时,风险合规条线在“偿二代”监管框架下,对各大类风险进行持续监控,并将信息安全纳入操作风险管理的框架。审计管理部门负责对信息技术部门的信息安全执行情况、风险合规部门相关制度完善性、遵循有效性等方面的完善程度展开定期和不定期常规或专项审计。

        2.优化工具保安全。一是建立数据中心立体防御平台,提供亿级客户服务安全防护能力。针对外部攻击,与国家级应急服务机构以及电信运营商合作,建立针对境外以及本地流量清洗的服务。同时,除生产互联网的第三方接入外,设立灾备以及测试互联网接入系统,建立多层次的威胁监测、清除、权限控制等机制。二是应用安全和漏洞管理机制贯穿管理全过程。应用安全管理上,在应用立项阶段即开启安全分析、界定安全关注点、明确安全需求、设计详细应对方案,在开发测试阶段同时进行安全需求功能测试与全扫描,并在上线和日常运作中持续进行基础设施安全扫描和检查。在漏洞管理方面,应用发布前进行漏洞扫描和评估,上线后进行第三方渗透测试,并在日常运作中设立漏洞通报和修复处置策略。三是建立防泄漏管控机制。数据防泄漏实行分级管理,通过信息系统日志分析记录数据外发行为,按照机密级别,通过终端提示选择告警或者直接阻断的控制方式。建立部门负责人数据泄露例外管理审批流程机制,定义数据释放的严格标准以及责任人。四是建立账号授权管理体系。基于用户—角色—访问权限的业务对应,采用统一的标准化流程集中管理用户角色与权限矩阵。对生产账号建立统一身份验证机制和访问权限控制。五是建立快速监控响应机制。通过“鹰眼”等安全大数据平台,对基础设施日志数据进行关联分析形成安全事件,实现自动分级处置。对于互联网攻击或漏洞以及生产服务器漏洞和病毒风险进行分析,形成关联规则,根据安全分析人员的反馈,定时进行综合和关联规则调优,供内控与风险管理人员分析。对于关联规则触发的不同风险等级的事件,对高危事件自动阻断;中危事件生成自动化工单,反馈给负责人,降低处理时效;低危事件自动报表化,提升内控管理力度。

        3.严密内控促合规。建立针对总部数据中心和子公司内控违规监控的管理机制,分流程和领域进行监控、分析、自查和改进。一是严防总部数据中心内部违规。内控检查覆盖信息系统全流程及控制项,对关键点实施重点监控,在落实过程中运用常规检查、飞行检查和专项检查等定期和不定期检查,对于检查发现的问题,通过警示函、定期报告、系统流程跟踪、督办和缺陷整改等促进落实。二是严防子公司内部违规。要求各子公司对标监管要求,从信息科技治理、信息安全、信息科技风险管理、灾备恢复、外包与采购管理、互联网保险、信息系统开发测试等方面开展内控达标活动,定期对照自查持续改进。

        4.借鉴框架强风控。一是建立风险管理体系。按照全面风险管理框架,对标保监会《信息科技监管评级体系》,制定完善的信息安全管理制度,明确风险识别以及风险责任到岗等机制。二是建立风险处置机制。对信息科技治理、信息安全、信息科技风险管理、灾备恢复、外包与采购管理、互联网保险、信息系统开发测试等方面进行分类持续动态监控,及时处置。三是建立应急管理机制。编修应急事件处置预案,实行无预警实战演练,对各种场景形成应急SOP,覆盖各重要场景和核心系统,明确应急处置的目标,简化预案处置流程。四是日常培训宣导。通过内部期刊、专题培训以及应急演练等渠道,开展信息安全教育,提升安全意识和管理应对技能。

信息安全风险对太保集团全面风险管理体系的新挑战

        1.公司新一轮发展战略的实施。金融行业正在全面应用数据和新科技,优化再造业务流程、产品、客户服务和获利能力,以及创造超越传统行业价值链的全新业务能力。鉴于此,太保集团启动实施以客户互动模式和运营作业模式的升级为核心的“数字太保”战略,通过创新数字体验、优化数字供给、共享数字生态,以支持打造业务发展内生动力、提高营运效率、降低作业成本,提升核心系统大集中的集约化管控、总揽全局的经营管理和风险防范、前中后台融合的移动作业、符合公司发展需要的安全生产保障等四大能力。在面向亿级用户、海量数据、平台多元、技术创新、开发迭代加快等新技术、新架构、新要求驱动下,信息安全成为“数字太保”战略成败的关键因素之一。

        2.信息安全威胁层出不穷。网络攻击和数据安全威胁日趋严重,全球大流量高频次DDoS攻击常态化,信息泄露事件频发,高危漏洞席卷全球。新技术、新架构使得威胁手段多样化、隐蔽化,例如作为云计算租户的公司企业和云服务商共同掌握了信息的部分控制权,来自云服务商内部以及针对云服务商的黑客以及租户之间的信息隔离机制成为新的威胁。太保集团也未能置身事外,针对生产Web和APP的高位漏洞逐年增长,拦截到的攻击数量更是每年多达上亿次。

        3.信息安全风险持续成为太保集团风险管理的挑战。太保集团的数据运用也与其他金融企业同时呈现出新特征,体现在大数据、云计算、平台化、移动互联、社交应用的深入。数据量庞大,在采集、存储、使用等环节需保障安全。终端用户访问量数以亿计,安全平台防护能力和服务能力同时面临压力。云计算的运用使得计算资源外部化,安全边界泛化,防护需从基础设施防护向应用防护演进。同时在云计算构架下,应避免运维账户的共享、信息泄露与越权操作等风险。由于移动应用等敏捷开发的需要,快速交付的安全测试同步化难以完成。

太保集团进一步加强信息安全风险防控的思路

        1.构建与访问量和防护需求对应的安全防护平台。面对亿级终端用户访问和防护需求,安全防护平台需提供性能相当的DDoS攻击防护清洗能力。可以利用的方案包括电信运营商本地清洗以及建立虚拟应用防火墙。为适应云中心应用由内网转向外网的趋势,由传统围栏式防护演进为基于应用、机构粒度并且可集中化管理的防护框架,且可按需弹性扩展。

        2.构建适应移动互联、云中心数据库架构的数据安全防护机制。随着应用的全面互联网化,业务数据被窃取风险不断加大,需保障云中心业务数据的机密性。同时移动应用越来越成为目前公司客户的主流,移动端数据泄露的风险日趋严重,移动数据保护至关重要。对于云中心存储架构的核心数据,建立具备追溯访问源及操作行为的功能,切实筑牢云架构安全边界。

        3.构建基于大数据算法的威胁侦测手段。通过内外部威胁情报和安全日志的读取,利用数据挖掘算法建立威胁模型,高效率地甄别网络攻击、信息篡改、恶意代码、内外部泄密、操作越权等异常行为,按照威胁等级采取告警或阻断的措施,提升在海量数据、非中心化数据存储下的信息安全防护效率。

        4.借助IT新技术提升传统的风险监测工具。借助公司新一轮信息技术规划的实施,运用大数据识别和防范保险业务欺诈、非公平交易等违法违规行为。运用爬虫技术建立外部信息获取和解析能力,防控公司声誉风险、交易对手信用违约风险,收集分支机构监管处罚事件。运用公司对信息系统用户集中、统一、实名验证机制,实时侦测探查防范用户冒名登录访问、不相容岗位权限设置和使用等潜在风险事件。

        5.弥补风险管理部门在信息安全风险评估能力上的短板。“偿二代”于2016年正式实施,其第11号规则《保险公司偿付能力风险管理要求与评估》给各保险公司带来了巨大的管理压力,其中对风险管理专业部门人员的评分标准中就包含信息安全风险管理专业人员;操作风险评估标准中包括信息系统的实用性、安全性和可用性的评估。从实践看,当前风险管理部门的人员大多局限在财务、投资、精算、法律等专业领域,缺乏评估公司信息安全风险的专业能力,而设置在信息技术部门内的信息安全与内控专业团队有缺乏一定的独立性,影响到监督的有效性。因此,随着“数字太保”战略的进一步实施,为风险管理部门补充适当的信息安全专业人员将成为必然的趋势和选择。

(文章来源:金融电子化杂志) 

扫码即可手机
阅读转发此文

本文评论

相关文章