【业务合规】保险行业合规要从信息安全抓起！

对于金融机构来说，合规科技是“老词新说”。老词，源于合规早就是金融机构密不可分的必修业务之一。新说，源于合规加上数字科技之后，对金融机构来说，既是一种降本增效的合规新技能，又是一种数字科技带来的技术新挑战。

这期将会从信息安全的角度，为大家全面解析企业安全合规的挑战与方法。

01边界感的养成：信息安全规范日渐增多

国家对网络安全，个人隐私数据安全的保护越来越严格， 而保险行业是一个会接触到大量个人隐私数据的行业，因此信息安全监管会越来越严格。从2018年我们国家发布《网络安全法》以来，围绕互联网行业，金融行业，我们国家出台了越来越多的信息安全相关的法规，制度及标准。

目前，保险公司需要注意的安全合规要求如下：

一、通用标准及法规

这是任何一家企业都需要满足的安全合规要求，具体是：

2018年6月1日实施的《网络安全法》

2020年1月实施的《GB/T 2239-2019 信息安全技术 网络安全等级保护基本要求》俗称“等保2.0”

2019年11月起生效的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

二、保险行业相关的规范及标准

《JR/T 0071 金融行业信息系统信息按等级保护实施指引》

《JR/T 0167-2018 云计算技术金融应用规范 安全技术要求》

《JR/T 0171-2020 个人金融信息保护技术规范》

《金融科技产品认证规则》

三、个人隐私保护相关标准及规范

《App违法违规收集使用个人信息自评估指南》

《GB/T 35273-2020 信息安全技术 个人信息安全规范》

四、未来需要重点关注的法规

《互联网保险业务监管办法》

《移动互联网应用程序（App）个人信息安全防范指引》

《信息安全技术-健康医疗信息安全指南》

《数据安全法（草案）》

《金融数据安全 数据安全分级指南》

02全息视角：保险业务经营过程中的的信息安全问题

在保险的业务经营过程中，特别是日益互联网化的保险企业，在经营过程中会遇到的信息安全问题主要有这几个方面：

1、隐私数据安全：

保护行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等个人的隐私数据的安全将是保险企业的安全重点；

2、安全信息和事件管理：

网络安全法和网络安全等级保护规定了相关的监测记录日志不少于六个月留存时间，且对网络安全相关的日志不仅要留存且记录中要明确真实身份信息，定位到人；

3、反欺诈：

需要建立健全互联网保险反欺诈制度，加强对互联网保险欺诈的监控和报告，营销宣传合作机构应协助保险机构开展反欺诈监控和调查；

4、信息安全防护：

互联网保险应用开发迭代较快，需要高效且严格的应用安全管理流程，保证代码安全性；同时还需要有效保障网络边界，服务器，线上应用的安全性，发现并阻断攻击行为

5、等保2.0认证：

根据《互联网保险业务监管办法（征求意见稿）》，为保险企业提供技术支持、客户服务、营销宣传业务的上下游企业需满足等保二级认证；保险从业企业需满足等级保护三级认证；

03念念不忘必有回响：众安科技的“新解法”

作为国内第一家互联网保险公司，众安科技在安全合规方面一直紧跟监管部门的步伐，基于金融行业云端安全合规，安全管理及安全防护的需求提供覆盖云安全，数据安全及业务安全的系统及产品。

其中云安全系列产品包含了web应用安全防护，多因素安全认证，安全信息和事件管理，安全基线管理，云主机安全防护，安全大数据分析，威胁情报分析，应用及业务安全防控的云端安全管控平台。

数据安全系列产品提供了企业办公环境及云端环境的安全解决方案，从数据的生产，传输，存储，分享提供全链路的安全审计和安全防护。

业务安全系列产品基于多维度的数据采集，安全的加密算法，海量的数据分析，智能的算法模型，为用户提供高效，安全的业务安全防护服务，可为用户解决各种安全难题，包括且不限于羊毛党、刷单、活动作弊、撞库、恶意评论等攻击。

除此之外，为了帮助保险行业上下游满足《互联网保险业务监管办法》中的等保合规要求，众安提供了等保安全咨询加等保合规安全解决方案服务，帮助企业低成本，快速地通过等保测评。为了满足不同规模企业的特点，众安科技提供了不同的解决方案套餐，具体如下表：

————————

原创文章，作者：王明博，内容编辑：郝俊伟

版权归众安科技所有