企业年金信息安全管理不足与改进建议,计算机信息安全论文

来源:本站2019-05-14151 次

  Withtheimprovementofnetworkoperationinpension,informationsecurityhasalreadybec,builtonthepurposeofincreasingtheinformationsecuritymanagementabilityandprotectingthesecurityofpension,   bigdata;pension;informationsecurity;  企业年金,与社会养老保险和商业养老保险共同构成我国的养老保险体系[1],是介于二者之间的一种补充养老保险制度。 经过近30年的发展,我国的企业年金不论在规模、覆盖面还是在管理能力等方面都有了长足的进步。   随着互联网、大数据技术的飞速发展,企业年金管理机构所提供的服务已基本实现了信息网络化,其年金管理信息系统已经可以适应多个业务运作主体、多种年金产品的操作需求,并能够兼容不同年金政策下多种业务合同、多种职工福利类型和不同客户群体的投资偏好。

服务的网络化、数据化提升了年金管理机构效率和客户服务体验的同时也带来了新的问题信息安全问题[2]。

在互联网大数据时代,企业在推进其信息化进程中本就面临着各种安全威胁,加之企业年金管理业务涉及信息量庞大,利益相关者众多,信息较为私密的特点,为了保护大数据环境下企业年金信息的安全,提高信息安全管理水平,加强大数据信息安全管理体系研究刻不容缓。   所谓信息安全是指在已知安全等级条件下,信息系统能够抵御偶然事件或者恶意行为的能力,这些行为会对系统中存储、处理或传输的信息造成破坏,从而严重影响系统的服务能力[3]。

在企业年金信息管理的过程中,信息安全问题具体表现为由于人为或偶然性因素导致的客户信息泄露、业务数据外流或篡改,进而影响到年金计划的整体安全性。    对于企业年金管理机构来说,信息系统是主要的业务工具,其中的数据更是其重要的资产,在大数据环境下这些数据资产的价值尤为突出。 企业年金信息安全管理的特殊性在于:信息量大、信息私密性强、参与者众多。

  企业年金的信息安全管理是以信息系统为基础的,通常由受托人发起建设并管理,以国内大型保险公司T集团养老保险公司企业年金信息系统为例,该系统由访问、功能和数据等3个层次构成,如图1所示:  图1企业年金信息系统结构  企业年金管理过程的实现以信息系统为工具,对外可以通过互联网平台向委托人及其职工提供查询、投资、咨询等基本业务和信息服务,同时为投管人、账管人等机构提供数据接口,并向监管部门提供相应的监管数据[4]。 对内部员工及管理者来说在办公、财务等平台的支持下可以完成年金管理的基本业务,并为工作人员建立互通机制。 不仅如此,信息系统的分析模块可以自动收集委托人对于年金产品的个性化需求、投资偏好等信息,进行深入的分析并进行后台的综合管理。 大数据环境下,这一流程中各主体在不同环节接收与发送的信息量的规模愈加可观,这就进一步加大了企业年金信息系统的安全隐患。

对于企业年金管理机构来说,以信息系统为工具,保护数据资产,维护信息安全也是其重要的业务内容。

  如图1所示,大数据环境下企业年金管理的信息安全问题主要来源于业务流程中与外界环境进行信息交互的数据接口,主要包括年金管理机构、委托人即客户企业及其职工和第三方合作机构等方面,具体表现为:   企业年金管理机构在进行业务活动的过程中倾向于扩大客户信息收集范围并进行深度数据挖掘,而对于信息保护的重视不足。 对于商业化的年金管理机构而言,收集越多的客户信息对其业务开展越有利,利用先进的数据加工和数据挖掘技术还可以得到更有价值的信息。 比如结合职工的年龄、收入、学历等自然信息和其投资选择信息,可以判断其投资习惯,推断其投资偏好,从而用来为其推荐其他保险或理财产品;如果将企业信息和职工总体的收入和投资偏好信息相结合就可以帮助投管人制定更有吸引力的投资组合方案。

这些信息及其分析结果都是年金管理机构的隐形财富,并且随着数量的增长价值也在提升,但如果其保密性或者安全性不能得到很好的保证,则会成为风险隐患。

另外,操作失误、维护不当等人为因素也是导致信息安全问题的重要原因[6],甚至可能发生工作人员出于经济利益等原因故意泄露客户信息的情况[7]。    企业年金管理信息系统的技术及其网络维护也是导致信息安全问题的重要原因。

一方面,信息系统的设计软件不能做到无懈可击,一定会存在漏洞和后门,都有可能成为黑客攻击的突破口,其后果对企业年金管理信息系统来说是灾难性的。

另一方面,在互联网大数据环境下,企业年金业务在多个管理者之间基于开放的互联网平台运行,涉及委托人、受托人、托管人、账管人、投管人、监管机构等多方主体,还包括外包服务供应商,网络节点众多,大大增加了信息安全的关联风险。

    企业年金计划的直接客户是委托人企业,作为参加年金计划职工方的组织者和代表,委托人一方面面向职工收集相关信息,另一方面面向年金管理机构沟通业务流程信息,因此能够掌握到企业年金最基本的信息,包括:向受托人提交账户及其变更信息、待遇支付申请、个人账户转移申请,并向账管人提供相关账户信息;向托管人缴纳企业及职工费用,并向账管人提供缴费信息;与投管人沟通投资组合方案,与职工沟通完成投资选择,分配收益,并与账管人共享分配信息。 委托人方面任何人为或技术上的疏漏都会对企业年金管理信息系统的整体信息安全造成威胁。

   委托人企业职工作为企业年金服务的最终客户,运作过程中得到的服务包括:申请及建立个人账户、变更信息、按月自动缴费、选择投资工具、记录投资收益、查询账户余额,以及养老金领取等。

在日常使用企业年金信息系统时的主要权限则是针对个人账户的查询、更新和投资选择,如使用过程中网络安全意识薄弱,或缺乏相关知识技能,发生操作不当或被网络攻击,会对个人账户信息产生风险,但一般不会对信息系统整体造成大范围的影响。     在企业年金管理的业务中,来自第三方服务的外包机构主要负责数据库的建立和维护,在信息安全问题中起到至关重要的作用,也是在大数据环境下企业年金信息安全管理中较为薄弱的一环。 来自第三方的风险,一方面在于外包机构的信息管理能力:其所建数据库的安全等级以及维护能力,比如2015年某大型保险集团发生的大规模客户信息泄露事件,就是由于数据录入外包服务商系统漏洞导致的;另一方面在于外包机构的信誉:如果外包机构将获得的信息资料恶意散播出去,无疑会对企业年金及信息管理机构产生极为不利的影响。

  。

  • A+
所属分类:西方文学