史特大数据环境下企业年金信息安全管理策略发布者：本站     时间：2020-05-02 15:05:17

企业年金, 与社会养老保险和商业养老保险共同构成我国的养老保险体系[1], 是介于二者之间的一种补充养老保险制度。经过近30年的发展, 我国的企业年金不论在规模、覆盖面还是在管理能力等方面都有了长足的进步。

随着互联网、大数据技术的飞速发展, 企业年金管理机构所提供的服务已基本实现了信息网络化, 其年金管理信息系统已经可以适应多个业务运作主体、多种年金产品的操作需求, 并能够兼容不同年金政策下多种业务合同、多种职工福利类型和不同客户群体的投资偏好。服务的网络化、数据化提升了年金管理机构效率和客户服务体验的同时也带来了新的问题———信息安全问题[2]。在互联网大数据时代, 企业在推进其信息化进程中本就面临着各种安全威胁, 加之企业年金管理业务涉及信息量庞大, 利益相关者众多, 信息较为私密的特点, 为了保护大数据环境下企业年金信息的安全, 提高信息安全管理水平, 加强大数据信息安全管理体系研究刻不容缓。

所谓信息安全是指在已知安全等级条件下, 信息系统能够抵御偶然事件或者恶意行为的能力, 这些行为会对系统中存储、处理或传输的信息造成破坏, 从而严重影响系统的服务能力[3]。在企业年金信息管理的过程中, 信息安全问题具体表现为由于人为或偶然性因素导致的客户信息泄露、业务数据外流或篡改, 进而影响到年金计划的整体安全性。

1、 企业年金信息安全管理存在的主要问题

对于企业年金管理机构来说, 信息系统是主要的业务工具, 其中的数据更是其重要的资产, 在大数据环境下这些数据资产的价值尤为突出。企业年金信息安全管理的特殊性在于:信息量大、信息私密性强、参与者众多。

企业年金的信息安全管理是以信息系统为基础的, 通常由受托人发起建设并管理, 以国内大型保险公司T集团养老保险公司企业年金信息系统为例, 该系统由访问、功能和数据等3个层次构成, 如图1所示:

图1 企业年金信息系统结构

企业年金管理过程的实现以信息系统为工具, 对外可以通过互联网平台向委托人及其职工提供查询、投资、咨询等基本业务和信息服务, 同时为投管人、账管人等机构提供数据接口, 并向监管部门提供相应的监管数据[4]。对内部员工及管理者来说在办公、财务等平台的支持下可以完成年金管理的基本业务, 并为工作人员建立互通机制。不仅如此, 信息系统的分析模块可以自动收集委托人对于年金产品的个性化需求、投资偏好等信息, 进行深入的分析并进行后台的综合管理。大数据环境下, 这一流程中各主体在不同环节接收与发送的信息量的规模愈加可观, 这就进一步加大了企业年金信息系统的安全隐患。对于企业年金管理机构来说, 以信息系统为工具, 保护数据资产, 维护信息安全也是其重要的业务内容。

如图1所示, 大数据环境下企业年金管理的信息安全问题主要来源于业务流程中与外界环境进行信息交互的数据接口, 主要包括年金管理机构、委托人即客户企业及其职工和第三方合作机构等方面, 具体表现为:

1.1、 挖掘客户信息, 保护力度不足

企业年金管理机构在进行业务活动的过程中倾向于扩大客户信息收集范围并进行深度数据挖掘, 而对于信息保护的重视不足。对于商业化的年金管理机构而言, 收集越多的客户信息对其业务开展越有利, 利用先进的数据加工和数据挖掘技术还可以得到更有价值的信息。比如结合职工的年龄、收入、学历等自然信息和其投资选择信息, 可以判断其投资习惯, 推断其投资偏好, 从而用来为其推荐其他保险或理财产品;如果将企业信息和职工总体的收入和投资偏好信息相结合就可以帮助投管人制定更有吸引力的投资组合方案。这些信息及其分析结果都是年金管理机构的隐形财富, 并且随着数量的增长价值也在提升, 但如果其保密性或者安全性不能得到很好的保证, 则会成为风险隐患。另外, 操作失误、维护不当等人为因素也是导致信息安全问题的重要原因[6], 甚至可能发生工作人员出于经济利益等原因故意泄露客户信息的情况[7]。

1.2、 网络节点众多, 存在安全隐患

企业年金管理信息系统的技术及其网络维护也是导致信息安全问题的重要原因。一方面, 信息系统的设计软件不能做到无懈可击, 一定会存在漏洞和“后门”, 都有可能成为黑客攻击的突破口, 其后果对企业年金管理信息系统来说是灾难性的。另一方面, 在互联网大数据环境下, 企业年金业务在多个管理者之间基于开放的互联网平台运行, 涉及委托人、受托人、托管人、账管人、投管人、监管机构等多方主体, 还包括外包服务供应商, 网络节点众多, 大大增加了信息安全的关联风险。

1.3、 管理能力有限, 疏于安全管理

企业年金计划的直接客户是委托人企业, 作为参加年金计划职工方的组织者和代表, 委托人一方面面向职工收集相关信息, 另一方面面向年金管理机构沟通业务流程信息, 因此能够掌握到企业年金最基本的信息, 包括:向受托人提交账户及其变更信息、待遇支付申请、个人账户转移申请, 并向账管人提供相关账户信息;向托管人缴纳企业及职工费用, 并向账管人提供缴费信息;与投管人沟通投资组合方案, 与职工沟通完成投资选择, 分配收益, 并与账管人共享分配信息。委托人方面任何人为或技术上的疏漏都会对企业年金管理信息系统的整体信息安全造成威胁。

1.4、 安全意识薄弱, 操作产生风险

委托人企业职工作为企业年金服务的最终客户, 运作过程中得到的服务包括:申请及建立个人账户、变更信息、按月自动缴费、选择投资工具、记录投资收益、查询账户余额, 以及养老金领取等。在日常使用企业年金信息系统时的主要权限则是针对个人账户的查询、更新和投资选择, 如使用过程中网络安全意识薄弱, 或缺乏相关知识技能, 发生操作不当或被网络攻击, 会对个人账户信息产生风险, 但一般不会对信息系统整体造成大范围的影响。

1.5、 合作机构疏忽, 引发安全事故

在企业年金管理的业务中, 来自第三方服务的外包机构主要负责数据库的建立和维护, 在信息安全问题中起到至关重要的作用, 也是在大数据环境下企业年金信息安全管理中较为薄弱的一环。来自第三方的风险, 一方面在于外包机构的信息管理能力:其所建数据库的安全等级以及维护能力, 比如2015年某大型保险集团发生的大规模客户信息泄露事件, 就是由于数据录入外包服务商系统漏洞导致的;另一方面在于外包机构的信誉:如果外包机构将获得的信息资料恶意散播出去, 无疑会对企业年金及信息管理机构产生极为不利的影响。

2、 大数据环境下企业年金信息安全管理策略

2.1、 实施全业务流程信息安全管理

我国企业年金管理的治理结构是以受托人为核心的, 接受委托人 (通常为参加企业年金计划的企业) 的业务委托, 选择并监督其他管理者共同开展业务 (具体业务流程如图2所示) 。数据信息的流动贯穿企业年金服务的整个过程, 是年金管理业务的核心, 要保证信息安全, 这就对企业年金信息系统的功能、效率和安全性指标以及全流程的管理、控制工作都有较高的要求。

企业年金管理机构对年金业务开展过程中信息安全问题预防和补救负有主要责任, 增加研发投入, 建设保护信息安全的技术系统, 创造良好的信息安全环境, 采取有效的应对措施防范信息泄露。管理机构应在人社部下发的《企业年金基金账户管理信息系统规范》等政策法规的指引下, 根据安全级别, 建立多层次防护策略, 建立防止信息泄露的长效机制和防御体系。判断安全级别, 有效保护核心数据, 降低企业年金管理信息系统信息泄露的风险。同时, 各管理机构要加强信息沟通过程中的信息安全防护, 并管理好合作的数据录入等第三方平台, 做好风险评估和防范工作。

完善企业年金信息安全管理制度, 提升企业年金信息安全管理能力, 需要建立全流程的监管体系, 对信息流动的整个过程进行实时监控, 了解各环节的安全隐患、风险等级, 随时掌握信息的传递及保密情况;需要所涉各主体的共同参与和配合, 明确流程中各环节的主要责任, 负责重点把控各业务环节的安全保障, 同时共同配合建立和执行统一的安全管理政策和措施。