收藏本页 打印 放大 缩小
0

建设数据分类体系 防控数据泄露风险

发布时间:2016-11-29 07:44:48    作者:阎光    来源:中国保险报·中保网

阎光

随着保险行业对信息安全的日益重视以及大数据的使用和发展,越来越多的保险公司注意到目前信息安全体系中对核心的信息资产—数据安全的针对性管控能力需要进一步提升,以保障各合作伙伴和客户信息安全,主要体现在以下四点:

业务需要:保险行业对数据资产日益重视,例如产品研发数据、客户个人信息等。大数据营销也推动着数据使用的深度和广度。但对数据在企业内外部使用交换过程中的安全如何有效管控需要有更针对性的管控框架与方法。

监管需要:国资委、国家保监局、上级控股公司对保险公司数据分类分级保密工作陆续出台了不同的安全保护要求。

市场需要:国内外企业在信息安全管理体系基础上都在持续深化专项安全管理,包括数据安全、身份与访问控制等领域,保险行业也应该率先应对。

合作伙伴:保险公司往往会与股东方、供应商、合作伙伴进行大量的内外部数据交互,合作伙伴目前都有强烈意识,要求保险公司对交换的数据进行充分保护以确保双方的利益,因此,数据安全也是赢得合作伙伴信任和品牌声誉的重要环节之一。

由此来看,保险公司需要综合考虑各方的安全要求,建立与其数据情况相匹配的数据安全保护体系。而有效的数据安全是建立在准确的目标定位上的,即首先需要识别出哪些才是真正需要保护的目标数据,否则采用广种薄收的形式,将无法把有限的资源投入到最值得保护的目标对象上去。因此数据分类就成为数据安全建设的基础。

在明确企业应该进行数据分类后,很重要的一点是应考虑需要建立一个什么样的数据分类体系,以保障信息的保密性、完整性和可用性。为了能成功地实现数据分类,企业应该意识到数据分类应首先通过分析信息开始。

步骤1:识别所需要保护的数据源

收集的方法通常包含书面调查、问卷调查、个人访谈,学术界也提出可以使用专家系统来进行信息的分类,但该方法目前较为前瞻,但尚未存在相关的产品。如果数据源还没有被明确识别出来,那么建议从开发人员、操作系统和数据库管理员、业务骨干以及高级管理人员的访谈入手。在信息收集的过程中,应该充分考虑到当前的技术趋势,如需要区分位于云计算和不同应用系统中的数据。

完成此步骤后,已经可以定义出数据源、数据保存的位置、现有的管控措施、数据所有人、数据管理人以及相关的数据类型。信息可以被单独地列出或进行分组,常见的区分方式为:地理位置、组织、技术或应用程序生命周期。通过这个方法的不断迭代,信息类别的范围将被逐步扩大,细化,颗粒度逐渐变小。

步骤2:识别现有的数据保护措施

需要根据数据的各个来源考虑数据的保护目标,例如一家公司的安全策略、现有组织架构、数据隔离方法。这些信息可以从IT部门和业务部门处进行了解,也可以考虑监管和法律的要求。

一些业内公认的数据保护措施如下,应根据企业业务的需求和信息保护的目标进行正对性的选择:

身份验证:身份验证是最常见的一种保护措施,它可以帮助识别相关的用户身份。

基于角色的访问控制:如数据所有者、业务员、经理、审计人员等,访问控制列表是可以根据访问级别进行变化的,如只读、修改、删除等。

加密:对数据加密可以避免其被非法访问及修改,在登录过程中及保险订单交易时这种机制可以保护敏感的个人信息及隐私。灵活的使用加密技术可以确保各种形式的信息始终收到保护。

行政控制:如后台数据变更的控制、数据库数据导出控制、职责的分离、轮岗制度和交叉培训等。

技术控制:较为典型的技术控制包括:防病毒软件、磁盘与系统的冗余、网络的隔离等。

验证:验证数据的保护措施也是同样一种保护措施。如监控、代码审计、入侵检测等。

步骤3:定义数据类别

数据的类别标签应与它设定的保护目标相一致。不同的用户对于不同的数据类别会有这不同的理解,因为有一些特定数据会对特定的人员才较为敏感。比如保单上的客户个人数据(身份证、姓名等)对个人而言比较敏感;而佣金率则对保险公司而言比较敏感;车辆信息对整车厂比较敏感。

步骤4:匹配不同数据类别的保护措施

将步骤2中识别出的保护措施,匹配到步骤3的分类中,以满足数据的保护目标。例如在第一次迭代时,需要从保密性、完整性、可用性、验证的角度确定数据保护四个不同程度的等级,分别是专有、需审批、内部、公开。但是这不得不反复迭代多次,详细步骤请参考步骤6。

步骤5:对数据进行分类

在此步骤中,将验证步骤1中识别出的数据源与步骤4中的保护措施是否相适应,这一步将会对之前的假设造成挑战,如果步骤4中的保护措施不能完全对步骤1中的数据源进行管控,则可以进行再次识别。

步骤6:根据需要进行重复

从这一步开始调整数据类别、保护级别和数据来源。如果在步骤3一开始的分类模型中只有三个数据源的分类可以使用,那么在下一次迭代时就需要再针对缺失部分进行补充。

数据分类是一个持续性的过程。在公司信息安全策略中应该明确数据分类的要求。建议保险公司制定程序并严格执行,以确保正确标识每个新的数据源和分类。并且除了技术方面的管控外,技术支持经理、数据所有者、数据保管者和数据使用者的职责都必须被明确的定义,并建议纳入个人绩效考核中。

(作者系德勤中国风险咨询副总监)