等保2.0时代,互联网保险等级保护这些内容,你清楚吗

2020-10-27 10:16:40 众安学院 45

  2020年9月28日,《互联网保险业务监管办法(征求意见稿)》(以下简称“《2020征求意见稿》或《办法》”),正式向社会公开征求意见。其中,对开展互联网保险业务的保险机构及其自营网络平台提出了有关于网络安全等级保护的要求。

  那究竟什么是网络安全等级保护(简称“等保”)?国家以及银保监会为什么要求各企业履行网络安全等级保护的义务?企业又该如何开展这项工作呢?众安学院将带着大家回顾网络安全等级保护的发展历史,归纳近年来监管对保险网络安全信息保护方面规定的要点。

  何谓“等保2.0”,其标准经历了怎样的发展历程

  网络安全等级保护,是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。

  简单来说,就是根据信息系统的重要程度,对信息系统实施分等级的保护;但就是这样一套相对完善的等级保护2.0标准,我们用了25年时间。

  1994年

  《中华人民共和国计算机信息系统安全保护条例》国务院147号令,第一次提出信息系统要实行等级保护,并确定了等级保护的职责单位。

  2003年

  《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号,要求等级保护工作的开展必须分步骤、分阶段、有计划实施。明确了信息安全等级保护制度的基本内容。

  2007年

  《信息系统安全等级保护管理办法》公通字[2007]43号,明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。

  《关于开展全国重要信息系统安全等级保护定级工作的通知》工信安[2007]861号,就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。

  2017年

  《中华人民共和国网络安全法》主席令 第53号,将网络安全等级保护制度的贯彻和实施要求写入国家基本大法。

  2018-2019年

  2018年1月19日,全国信息安全标准化技术委员会发布了《信息安全技术网络安全等级保护定级指南2.0(征求意见稿)》。

  2019年5月13日发布了三个信息安全技术网络安全等级保护国家标准(GB/T)正式版

  2019年12月1日起《信息安全技术网络安全等级保护2.0标准》正式实施,等级保护进入2.0时代。

  经过25年的发展历程,网络信息安全渐成国家战略,法律标准的完善,体现我国从网络大国向网络强国迈出了重要且坚实的一步。保险行业的网络安全关乎千家万户的切身利益,必须坚守合规底线。

  保险行业的数字化,等保2.0标准是合规底线

  长久以来,保险业存在数据量巨大、数据业务价值含量高、管理相对分散、用户隐私保护难等问题,伴随着大数据、云计算、人工智能、物联网等新兴技术的发展,科技重塑了保险全价值链,同时也使保险机构在防控网络攻击、数据泄露和网络犯罪方面承载空前压力,全球金融保险领域重大网络安全事件层出不穷。

  2017年,美国知名征信公司Equifax公司1.46亿客户资料被窃取;2019年5月,第一美国金融公司泄露数亿份2003年以来的保险文件,用户银行账号和对账单可以在互联网上公开获取。

  在我国信息安全国家法规的逐渐完善的今天,银保监会对保险公司的信息安全也提出了更高的要求。

  2020年9月28日,银保监会下发《互联网保险业务监管办法(征求意见稿)》,其中第七条、第三十七条、第八十一条,明确了保险机构自营网络平台应获得网络安全等级保护三级或二级认证,相关的技术支持或客户服务机构信息系统至少应获得网络安全等级保护二级认证。保险机构应在办法正式施行后12个月内完成自营网络平台网络安全等级保护认证。

  本次《办法》也要求保险机构需要不断提高互联网保险业务风险防控水平,健全风险监测预警机制,完善互联网保险业务发展相适应的信息技术基础设施和安全保障体系。

  《互联网保险业务监管办法(征求意见稿)》第四条明确规定:“不能有效管控风险、不能保障售后服务质量的,不得开展互联网保险销售或保险经纪活动。”足见监管对保险机构网络安全要求之严,管控决心之大。

  保险行业等保2.0合规建设的特点及难点

  保险机构在IT方面主要投入依然放在信息系统建设以及系统建设上,在安全方面的缺少投入,缺乏专业人员。在进行等保2.0合规建设上,会发现以下几个难点:

  1) 业务系统繁多,功能复杂,业务系统安全整改成本投入高

  保险经营具有分散性和广泛性,且业务链路长,不同的服务阶段都可能有不同的分支机构,上下游企业提供服务,导致保险经营过程中的业务系统繁多,且功能复杂。更多的系统,更复杂的功能就导致更多的安全风险,需要让这些系统满足等保2.0的安全标准,业务系统整改投入巨大。

  2) 涉及大量隐私数据,对数据安全的要求比较严格

  保险通常都是为民生利益提供安全保障服务,涉及到大量隐私数据,且这些数据的传输链路比较长,如何有效保障这些隐私数据的安全,满足等保2.0的要求也是不小的挑战。

  3) 下游企业规模小,IT投入有限

  随着保险行业的数字化转型,保险中介企业也逐渐从线下转到线上来经营保险业务。很多保险中介企业规模都比较小,然而为了满足等保2.0要求,需要采购多种安全设备及产品,且还需对业务系统进行复杂的安全合规改造,其IT投入价格不菲,导致一些小型保险中介企业难以满足等保2.0的安全要求。

  声明:本文节选来自众安学院的《活动丨保险行业的数字化,等保2.0是合规底线》,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。

网络安全等级保护咨询电话