发布时间:2018-05-20
向东
2018年4月20日至21日,习近平总书记在全国网络安全和信息化工作会上系统阐述了网络强国战略思想,强调“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。纵观当今社会,互联网和信息技术已渗透到生产生活的方方面面,加强网络安全和信息化建设,已经成为金融监管部门打赢防范化解金融风险攻坚战的重要内容,也是行业网络和信息化主管部门的重大责任。
一、保险机构信息化建设取得显著成效
经过十多年的快速发展,保险信息化从无到有、从分散到集中、从基本使用到互联互通综合利用,逐步形成支撑和引领业务发展的信息系统平台体系,在推动行业转型升级、创新发展中发挥了重要作用。
(一)信息化建设推进机制更趋有力。在组织领导层面,截至去年年底,共198家保险公司成立信息化工作委员会,占公司总数的90%以上,87家保险公司设立首席信息官,占近40%,推进层次和力度不断提升;在资金投入层面,去年行业信息化资金投入214.89亿元,在新技术应用带来总体资源节约化的趋势下,延续了持续增长态势;在技术人才层面,行业专业信息化从业人员1.77万人,专业信息安全从业人员689人,自主研发能力和网络安全运维管理能力持续增强。总体来看,已形成组织、资金、人才 “三位一体”的保障推进机制。
(二)信息化基础支持体系更趋完善。去年,全行业应用系统总数8714个,126家保险机构自建了数据中心,部分保险机构自建了云平台,大大提高了业务拓展和客户服务能力。部分保险机构借助信息技术实现了业务全国集中处理,有效提升了整体运营效能和资源共享度。信息技术广泛运用于综合办公、人力资源、权责管理等日常运营环节,有效增强了工作效率和决策支持水平。此外,保险机构积极利用信息技术,建设风险预警、内控合规和审计等系统,提升内部管控技术水平和刚性约束能力。
(三)信息化技术应用格局更趋多元。2017年,对136家保险公司的调查显示:78家应用移动互联网技术,占57.35%;51家应用大数据,占37.50%;47家应用云计算,占34.56%;29家应用人工智能,占21.32%;18家引入区块链技术,占13.24%;10家涉及物联网,占7.35%。互联网销售已成为业务发展的重要渠道,去年互联网保险签单件数124.91亿件,增长102.60%。此外,生物识别、基因检测等新技术也在保险业得到应用,保险公司依托新技术更加准确地进行风险识别、预警和管控,拓宽保险风险保障覆盖范围。
二、保险业网络安全监管体系逐步完善
保险业网信主管部门坚持一手抓行业信息化,一手抓网络安全风险防控,行业网络安全风险总体可控,守住了不发生大的网络安全事件这条底线。
(一)领导架构更加健全。原保监会组建之初就成立了信息化工作领导小组。2015年,为进一步加强对保险业网络安全与信息化工作的统一领导,再次调整和重新明确信息化工作领导小组,对保险业信息共享和信息安全重大事项进行审议。2018年年初,为贯彻落实中央关于网络安全工作责任制部署,进一步加强组织领导,会党委研究决定将信息化工作领导小组更名为网络安全和信息化领导小组,明确由主要负责同志担任组长,党委会定期研究有关工作,审议重大事项,有效提升了决策层级。
(二)监管政策笼子越扎越紧。先后出台保险机构开业信息化验收标准、《保险公司信息化工作管理指引》《保险公司信息系统安全管理指引》《保险业信息系统灾难恢复管理指引》等10余项网络安全管理制度,涉及保险机构市场准入、日常安全管理、重大事项报告等方面,涵盖事前预防、事中管理、事后处置。为进一步加强顶层设计,研制保险机构网络安全和信息化监管规定,修订保险业网络安全事件应急预案,起草制定保险业网络安全等级保护和信息化审计规范,进一步夯实了政策基础。
(三)手段措施实现多样化。启用了保险机构信息化风险非现场监管信息系统,按季度采集保险机构信息化治理等九大方面、129项评价点信息化风险报表信息,为动态分析、预警、防范和处置保险业网络安全风险提供决策支持。将系统评分纳入保险机构偿二代监管评价体系中,直接影响保险公司偿付能力评级。保险业信息系统在2004年就被列为“国家重要信息系统”。为提高全行业网络安全保障水平,2006年开始组织信息安全专项检查。2014年首次联合专业机构对保险公司开展信息安全远程渗透性测试。2016年以来与专业机构合作建立了保险行业信息系统监测机制,对全行业信息系统进行全面扫描,年均通报信息系统漏洞风险近百次,发布专项网络安全风险提示数十期,有效提高了全行业网络安全风险防范能力。2017年被评为“网络安全信息通报工作先进单位”。
(四)行业重要系统和关键信息基础设施保障有力有效。研究确定了保险业国家级重要信息系统标准,将行业内起关键支撑作用、面向公众提供大范围服务,以及系统安全直接关系到国家经济安全和社会稳定的核心信息系统纳入到国家级重要信息系统。在此基础上,探索研究制定保险业关键信息基础设施初步认定标准,在网络安全等级保护制度的基础上实行重点保护,着力提升关键信息基础设施的安全可控能力。
三、保险行业网络安全形势更加严峻复杂
大数据、移动互联网等新技术的兴起极大提升了金融业服务市场和客户的能力,但也颠覆了传统网络安全防护措施,风险关联与传递效应逐渐增大,网络安全风险日益成为影响保险业务稳定运营的重要因素。
(一)网络安全风险上升为行业重要风险之一。普华永道2017年金融科技调查显示,全球保险行业面临的风险中,网络安全位于第二位,仅次于业务变革风险。全球74%的保险企业认为部分业务在未来五年内将面临金融科技带来的颠覆性变革,48%的保险企业认为金融科技在互联网信息安全和隐私威胁方面给保险企业带来了新挑战。安联风险指标同样印证了这一观点,指标显示,业务中断和网络事件交织是保险机构面临的最主要威胁,网络事件是业务中断最令人担忧的触发因素。
(二)数据泄露成为保险业网络安全风险焦点。随着新技术应用的深入发展,保险机构获得保险标的、被保险人数据的种类和体量更加丰富庞大。例如,车辆行驶轨迹数据、双录数据等,这使得保险机构能够更全面地描绘被保险对象的风险特征,提供更贴心的服务。反过来看,其本身蕴涵的巨大商业价值自然成为各行业乃至网络黑产追逐的对象,而客户数据的泄露可能给保险机构、消费者造成巨大的经济损失和严重的社会影响。
(三)大型保险机构面临更广泛的网络安全威胁和攻击。大型保险机构由于业务类型复杂,系统数量众多,网络和信息系统外延暴露面更大,用户数据价值更高,已成为主要攻击对象。攻击者集中锁定大型机构,对业务流程、目标系统、高管人员进行精确的信息收集,主动挖掘系统漏洞和安全缺陷,利用这些漏洞和缺陷组建攻击环境,进行长期持续性网络攻击,实施数据窃取和破坏。
(四)行业新技术应用风险日益凸显。保险业积极研究应用金融科技,但对相关网络安全风险认识不够、防范不足。比如,云计算应用中的非驻场外包集中度风险,云平台数据汇聚的系统风险。移动互联网应用中的网络安全边界不断延伸,网络安全管理的对象和范围急剧扩大,难度和复杂性大大增加。移动应用迭代开发缺乏充分安全测试,快速上线的安全管理风险,以及区块链技术对现有中心化监管方式、公共平台、集中作业的冲击等。
当前,国际主要大国均加紧制定完善保险业网络安全战略,以应对复杂严峻的网络安全形势。美国方面,美国联邦政府发布的《联邦信息安全管理法案》对信息安全管理主要内容进行了规定。美国保险监督官协会(NAIC)发布《网络安全有效原则:保险监管指南》,提出了12大网络安全原则,其中强调了相关机构的管理职责及对外包方的管理职责、数据和隐私的全周期保护等。欧盟方面,针对数据保护,发布了《一般数据保护条例》(GDPR),特别强调了企业的安全保护责任主体和数据的被遗忘权;针对网络与信息系统安全,通过了《网络与信息系统安全指令》,要求基础服务运营者和部分数字服务提供者履行网络风险管理、网络安全事故应对与报告等义务。英国方面,审慎监管局除了强调数据保护外,对业务连续性、金融犯罪、外包管理作出了专项要求。可以看出,发达国家均以严肃审慎的态度应对保险业外部网络安全威胁。
四、以高度的政治责任感筑牢保险业网络安全屏障
面对新时代新使命,我们将坚持以习近平新时代中国特色社会主义思想为指导,牢固树立“四个意识”,在中国银行保险监督管理委员会党委的坚强领导下,切实履行好监管责任。
(一)深刻领会习近平总书记网络强国战略思想。以习近平总书记在全国网络安全和信息化工作会上的重要讲话精神为指引,自觉将思想和行动统一到党中央决策部署上来,切实增强贯彻落实的政治自觉、思想自觉、行动自觉。深刻认识网络安全对国家安全的极端重要性,树立正确的网络安全观,在头脑中真正筑起网络安全“防火墙”。坚持联系保险业实际,不断增强监管的主动性,趋利避害,以钉钉子精神把网络安全工作抓实抓到位。
(二)进一步夯实保险网络安全工作基础。一方面,在制度上加强顶层设计,研究完善行业网络安全事件应急预案等制度标准,推动保险业网络安全工作地位提升。另一方面,稳步推进网络安全风险防范和保障工作,围绕行业关键信息基础设施继续开展网络安全现场检查,按季度开展好保险机构信息化风险非现场监测和评分,动态地分析和处置行业网络安全风险。
(三)统筹推进网络安全组织机制和人员队伍建设,优化监管职能。充分借助和发挥现有监管队伍人力优势,探索研究保险业网络安全监管从集中统一的监管模式转变为分层级、分类别的属地监管模式,努力实现监管职能最优化。
(四)优化网络安全监管制度和监管指标,关注过程风险控制。在“事前预防、事中管理、事后处置”的监管制度体系基础上,增加和补充保险机构信息化建设过程风险控制、数据治理、新技术应用等方面的监管制度和监管指标,统一监管口径,明确监管依据。
(五)加强保险机构监管力度,从严监管。研究增加保险信息化风险作为操作风险在偿二代监管体系的占比。增加每年现场检查的保险机构覆盖规模,加强对地方局现场检查的指导,对日常监管和现场检查中发现的问题,依据有关法律法规严肃处理。
网络盛世,安全为基。面对蓬勃发展的网络时代,我们将秉持总体国家安全观,积极服务保险业健康可持续发展,为打好防控金融风险攻坚战、决胜全面建成小康社会贡献更大的力量。
作者系原中国保监会统计信息部主任