2020年9月28日���,《互聯網保險業(yè)務監(jiān)管辦法(征求意見稿)》(以下簡稱“《2020征求意見稿》或《辦法》”)���,正式向社會公開征求意見。其中����,對開展互聯網保險業(yè)務的保險機構及其自營網絡平臺提出了有關于網絡安全等級保護的要求。
那究竟什么是網絡安全等級保護(簡稱“等?����!??國家以及銀保監(jiān)會為什么要求各企業(yè)履行網絡安全等級保護的義務?企業(yè)又該如何開展這項工作呢?眾安學院將帶著大家回顧網絡安全等級保護的發(fā)展歷史,歸納近年來監(jiān)管對保險網絡安全信息保護方面規(guī)定的要點���。
何謂“等保2.0”����,其標準經歷了怎樣的發(fā)展歷程
網絡安全等級保護���,是指對國家秘密信息�����、法人或其他組織及公民專有信息以及公開信息和存儲��、傳輸、處理這些信息的信息系統分等級實行安全保護��,對信息系統中使用的安全產品實行按等級管理�����,對信息系統中發(fā)生的信息安全事件分等級進行響應�、處置。
簡單來說,就是根據信息系統的重要程度�����,對信息系統實施分等級的保護;但就是這樣一套相對完善的等級保護2.0標準�����,我們用了25年時間��。
1994年
《中華人民共和國計算機信息系統安全保護條例》國務院147號令���,第一次提出信息系統要實行等級保護��,并確定了等級保護的職責單位�。
2003年
《國家信息化領導小組關于加強信息安全保障工作的意見》中辦發(fā)[2003]27號��,要求等級保護工作的開展必須分步驟����、分階段、有計劃實施��。明確了信息安全等級保護制度的基本內容�����。
2007年
《信息系統安全等級保護管理辦法》公通字[2007]43號,明確了信息安全等級保護制度的基本內容�����、流程及工作要求���,明確了信息系統運營使用單位和主管部門�、監(jiān)管部門在信息安全等級保護工作中的職責�、任務。
《關于開展全國重要信息系統安全等級保護定級工作的通知》工信安[2007]861號���,就定級范圍����、定級工作主要內容����、定級工作要求等事項進行了通知�。
2017年
《中華人民共和國網絡安全法》主席令 第53號,將網絡安全等級保護制度的貫徹和實施要求寫入國家基本大法��。
2018-2019年
2018年1月19日,全國信息安全標準化技術委員會發(fā)布了《信息安全技術網絡安全等級保護定級指南2.0(征求意見稿)》。
2019年5月13日發(fā)布了三個信息安全技術網絡安全等級保護國家標準(GB/T)正式版
2019年12月1日起《信息安全技術網絡安全等級保護2.0標準》正式實施�,等級保護進入2.0時代。
經過25年的發(fā)展歷程�����,網絡信息安全漸成國家戰(zhàn)略����,法律標準的完善,體現我國從網絡大國向網絡強國邁出了重要且堅實的一步���。保險行業(yè)的網絡安全關乎千家萬戶的切身利益��,必須堅守合規(guī)底線��。
保險行業(yè)的數字化���,等保2.0標準是合規(guī)底線
長久以來,保險業(yè)存在數據量巨大��、數據業(yè)務價值含量高���、管理相對分散���、用戶隱私保護難等問題���,伴隨著大數據、云計算�、人工智能、物聯網等新興技術的發(fā)展����,科技重塑了保險全價值鏈,同時也使保險機構在防控網絡攻擊��、數據泄露和網絡犯罪方面承載空前壓力���,全球金融保險領域重大網絡安全事件層出不窮���。
2017年,美國知名征信公司Equifax公司1.46億客戶資料被竊取;2019年5月�����,第一美國金融公司泄露數億份2003年以來的保險文件��,用戶銀行賬號和對賬單可以在互聯網上公開獲取����。
在我國信息安全國家法規(guī)的逐漸完善的今天,銀保監(jiān)會對保險公司的信息安全也提出了更高的要求�����。
2020年9月28日�����,銀保監(jiān)會下發(fā)《互聯網保險業(yè)務監(jiān)管辦法(征求意見稿)》�����,其中第七條�、第三十七條、第八十一條���,明確了保險機構自營網絡平臺應獲得網絡安全等級保護三級或二級認證�,相關的技術支持或客戶服務機構信息系統至少應獲得網絡安全等級保護二級認證���。保險機構應在辦法正式施行后12個月內完成自營網絡平臺網絡安全等級保護認證�����。
本次《辦法》也要求保險機構需要不斷提高互聯網保險業(yè)務風險防控水平�,健全風險監(jiān)測預警機制,完善互聯網保險業(yè)務發(fā)展相適應的信息技術基礎設施和安全保障體系�。
《互聯網保險業(yè)務監(jiān)管辦法(征求意見稿)》第四條明確規(guī)定:“不能有效管控風險、不能保障售后服務質量的�����,不得開展互聯網保險銷售或保險經紀活動����。”足見監(jiān)管對保險機構網絡安全要求之嚴�,管控決心之大。
保險行業(yè)等保2.0合規(guī)建設的特點及難點
保險機構在IT方面主要投入依然放在信息系統建設以及系統建設上���,在安全方面的缺少投入�����,缺乏專業(yè)人員����。在進行等保2.0合規(guī)建設上,會發(fā)現以下幾個難點:
1) 業(yè)務系統繁多�����,功能復雜����,業(yè)務系統安全整改成本投入高
保險經營具有分散性和廣泛性�,且業(yè)務鏈路長,不同的服務階段都可能有不同的分支機構���,上下游企業(yè)提供服務����,導致保險經營過程中的業(yè)務系統繁多��,且功能復雜��。更多的系統��,更復雜的功能就導致更多的安全風險���,需要讓這些系統滿足等保2.0的安全標準�,業(yè)務系統整改投入巨大。
2) 涉及大量隱私數據���,對數據安全的要求比較嚴格
保險通常都是為民生利益提供安全保障服務��,涉及到大量隱私數據���,且這些數據的傳輸鏈路比較長,如何有效保障這些隱私數據的安全��,滿足等保2.0的要求也是不小的挑戰(zhàn)�。
3) 下游企業(yè)規(guī)模小,IT投入有限
隨著保險行業(yè)的數字化轉型�����,保險中介企業(yè)也逐漸從線下轉到線上來經營保險業(yè)務����。很多保險中介企業(yè)規(guī)模都比較小,然而為了滿足等保2.0要求��,需要采購多種安全設備及產品�,且還需對業(yè)務系統進行復雜的安全合規(guī)改造,其IT投入價格不菲�����,導致一些小型保險中介企業(yè)難以滿足等保2.0的安全要求。
聲明:本文節(jié)選來自眾安學院的《活動丨保險行業(yè)的數字化�,等保2.0是合規(guī)底線》,版權歸作者所有�����。文章內容僅代表作者獨立觀點�����,不代表我們立場����,轉載目的在于傳遞更多信息�����。如有侵權��,請聯系刪除�。
等保測評咨詢
