保险科技赋能,众安互联网保险隐私数据安全保护实践

导语:说到隐私数据安全,跟数据安全相比,隐私数据更明确、更细致,作为互联网保险公司,要保护企业的自身隐私数据安全,就需要非常完善和全方位的安全防护 。4月23日,众安保险全资子公司众安科技安全技术负责人王明博就互联网保险数据安全话题进行了主题分享,以下为演讲实录 。
王明博:很开心跟在座各位同行分享众安在隐私数据安全保护的实践 。每家公司的实践都不一样,今天我们主要分享众安在日常运营中,从0到1以及从1到N的实践,抛砖引玉 。
一、关于我们
众安在安全建设方面的积累,包括安全资质,等保三级、ISO27001的合规、软件能力成熟度的认证,自研的安全产品也获得了相应的销售许可,并且我们积极参与到信息安全行业的标准建设、区块链行业的建设 。今年,众安科技获评“2021安在新榜中国市场网络安全大众点评百强榜”,安全技术能力获得了行业认可 。
二、新数字经济的数据安全建设难题
众安作为互联网化的企业,目前朝着新数字经济的方向发展,我们面临的建设难题与解决办法可供大家参考 。
一方面是风险和监管的双重压力 。等保2.0、公安部1960号文、去年发布的《互联网保险监督管理办法》以及今年发布的金融行业等保2.0测评指南,对企业的信息安全合规做了很严格的要求 。此外还有一些相关的法律法规正在发布,比如接下来还会发布的个人隐私保护法等法规,这些法规对于企业来说是很大的挑战,需要面临更多监管压力 。
另一方面是随着技术和业务的创新发展,数据安全管控变得越来越复杂,比如云计算应用,以及AI和大数据开发 。业务的互联网化,比如金融、保险、教育、家居、电商、社交、车联网、IoT等都在进行互联网化转型,针对互联网的数据泄漏新风险,比如恶意爬虫、黑产团伙、web应用漏洞成为数据泄漏的主要途径 。企业办公协同,疫情催生了很多远程办公需求,但是很多企业老旧的制度和工具难以对新型工具进行管控,这一块也是存在很大风险 。
针对这些问题,接下来分享一下众安的数据安全管理建设实践以及技术防控领域的实践 。
三、数据安全管理建设实践
我们的数据安全建设工作思路是聚焦以数据安全为中心的安全建设,安全体系的建设都是围绕着数据安全,并且在数据安全管理和数据安全技术防控并重的方式 。数据安全管理方面,我们有一个数据安全管理矩阵,从能力维度、场景维度和管理执行维度建设安全管理 。技术方面,从技术架构维度,包括网络层、终端层、基础设施层、业务应用,无论在任何层次,我们都会对所有数据进行分级分类控制,同时在技术执行层面会引入技术进行识别、保护、检测、响应及处置 。
无论是数据安全,还是信息安全管理,自上而下是非常关键的 。自上而下而下分为两类,一个是管理意志的“自上而下”,因为信息安全建设最重要的是领导层的支持,高层领导的支持是安全管理建设的成功基石 。另一类自上而下是制度先行或安全体系先行,比如ISO27001或等保的合规要求,可以很好地辅助我们做数据安全体系的建设 。基于制度,才能落实相应的技术或者手段,完成数据安全的建设工作 。
权责明确、赏罚分明是落地信息安全制度的重要因素,在很多企业,有安全管理制度,但是执行度不够,导致很多制度只停留在了纸面 。众安的实践是从员工入职、权限变更、转岗以及离职,整个在职周期我们都有相应的制度和流程进行数据安全管控 。在数据安全管控时,我们会有赏罚和权责的明确,比如执行层面,IT团队和信息安全团队会落实相应的工具或系统 。在识别层面,主要是依靠信息安全团队的监控和数据分析 。在处置层面,通过HR团队、法务团队、廉政团队对违规行为进行处罚,形成威慑力,能够很好地落地信息安全管理制度 。另外还有内审团队做整个流程的监督和合规性审查 。