建设数据分类体系 防控数据泄露风险

本篇文章1985字，读完约5分钟

□严光

随着保险业越来越重视信息安全和大数据的使用与发展，越来越多的保险公司已经注意到，作为当前信息安全体系中的核心信息资产，数据安全的针对性管理和控制能力需要进一步提高，以确保所有合作伙伴和客户的信息安全，主要体现在以下四点:

业务需求:保险业越来越重视数据资产，如产品研发数据和客户个人信息。大数据营销也促进了数据使用的深度和广度。然而，如何有效地控制企业内外使用和交换过程中的数据安全，需要一个更有针对性的控制框架和方法。

监管需求:SASAC、国家保监局和上级控股公司先后发布了不同的保险公司数据分类、分类和保密的安全保护要求。

市场需求:国内外企业都在不断深化基于信息安全管理系统的专项安全管理，包括数据安全、身份和访问控制等。，保险业应率先作出回应。

合作伙伴:保险公司经常在大量的内部和外部数据中与股东、供应商和合作伙伴互动。合作伙伴目前意识很强，要求保险公司充分保护交换的数据，以确保双方的利益。因此，数据安全也是赢得合作伙伴信任和品牌声誉的重要环节之一。

从这个角度来看，保险公司需要全面考虑各方的安全需求，建立一个与其数据状况相匹配的数据安全保护系统。有效的数据安全是基于准确的目标定位，也就是说，首先要确定真正需要保护的目标数据，否则就不可能将有限的资源投入到最值得保护的目标对象中。因此，数据分类成为数据安全建设的基础。

在明确了企业应该对数据进行分类之后，考虑应该建立什么样的数据分类系统来保证信息的机密性、完整性和可用性就显得非常重要。为了成功地实现数据分类，企业应该认识到数据分类应该从分析信息开始。

步骤1:确定要保护的数据源

收集方法通常包括书面调查、问卷调查和个人访谈。学术界也提出专家系统可以用来对信息进行分类。然而，这种方法目前相对具有前瞻性，但还没有相关的产品。如果数据源没有被明确识别，建议从采访开发人员、操作系统和数据库管理员、业务骨干和高级经理开始。在收集信息的过程中，我们应该充分考虑当前的技术趋势，比如需要区分位于云计算和不同应用系统中的数据。

完成此步骤后，您已经可以定义数据源、数据存储位置、现有控制措施、数据所有者、数据管理器和相关数据类型。信息可以单独列出或分组，常见的区分方法有:地理位置、组织、技术或应用程序生命周期。通过这种方法的不断迭代，信息类别的范围将逐渐扩大、细化，粒度将逐渐变小。

步骤2:确定现有的数据保护措施

有必要根据各种数据源考虑数据保护目标，例如公司的安全策略、现有的组织结构和数据隔离方法。it部门和业务部门可以理解这些信息，也可以考虑法规和法律要求。

业界认可的一些数据保护措施如下，应根据企业的业务需求和信息保护的目标进行选择:

身份验证:身份验证是最常见的保护措施之一，有助于识别相关用户。

基于角色的访问控制:如数据所有者、销售员、经理、审计员等。访问控制列表可以根据访问级别进行更改，如只读、修改、删除等。

加密:加密数据可以避免非法访问和修改。该机制可以在登录和保险订单交易过程中保护敏感的个人信息和隐私。灵活使用加密技术可以确保所有形式的信息始终受到保护。

管理控制:如后台数据变更控制、数据库数据导出控制、职责分离、轮换制度和交叉培训。

技术控制:典型的技术控制包括防病毒软件、磁盘和系统之间的冗余、网络隔离等。

验证:验证数据的保护措施也是相同的保护措施。如监控、代码审计、入侵检测等。

步骤3:定义数据类别

数据的类别标签应该与其设置的保护目标一致。不同的用户对不同的数据类别有不同的理解，因为一些特定的数据会对特定的人才敏感。例如，客户的个人数据(身份证、姓名等)。)在政策上对个人敏感；佣金率对保险公司更为敏感；车辆信息对车辆制造商很敏感。

步骤4:匹配不同数据类别的保护措施

将步骤2中确定的保护措施与步骤3中的分类相匹配，以满足数据保护目标。例如，在第一次迭代中，应该从机密性、完整性、可用性和验证的角度确定四个数据保护级别，这些级别是专有的、需要批准的、内部的和开放的。然而，这必须重复几次。详细步骤请参考步骤6。

步骤5:对数据进行分类

在此步骤中，它将验证步骤1中确定的数据源是否与步骤4中的保护措施兼容，这将挑战之前的假设。如果步骤4中的保护措施不能完全控制步骤1中的数据源，则可以再次对其进行识别。

步骤6:根据需要重复

从这一步开始调整数据类别、保护级别和数据源。如果在第3步开始时，在分类模型中只能使用三个数据源的分类，那么在下一次迭代中需要补充缺失的部分。

数据分类是一个连续的过程。公司的信息安全政策应明确数据分类的要求。建议保险公司建立程序并严格执行，以确保正确识别每个新的数据源和分类。除技术控制外，技术支持经理、数据所有人、数据保管人和数据用户的职责必须明确界定，并建议将其纳入个人绩效考核。

(作者是德勤中国风险咨询部副主任)

来源：成都新闻网