信息安全监管是指对关键信息的生成、存储、传递和利用的过程及手段进行监督管理,以防止信息被非法泄露、篡改和损毁。在金融全球化、信息网络化的时代中,保险信息化建设是中国保险业缩小行业差距、提高综合竞争力的必然选择。而信息化发展得越快,信息安全就越重要。
在2007年初,中国保监会发布了《中国保险业发展"十一五"规划信息化重点专项规划》,明确地指明了保险业信息化发展的目标,确立了构建信息安全保障体系的任务,明确了加强信息技术风险监督的职责。因此,信息安全监管已经成为保险监管机关的一项重要任务。
信息安全监管的重要意义
长期以来,保险业在信息技术方面把主要力量放在了设备购置和软件开发上,忽视了信息安全建设,致使信息安全风险逐渐累积。保险监管机关要站在全行业信息安全的战略高度,通过有效实施信息安全监管,确保行业发展的信息安全和稳定,为保险业发展保驾护航。
信息安全监管是保障保险业安全、稳健发展的现实需要
现代保险业的运转对信息化的依赖程度与日俱增,信息化不再只是一种辅助的手段,而是已成为保险机构的大动脉,一旦断裂,不但使保险机构遭受巨额经济损失,降低企业自身的声誉,而且将不可避免地对整个保险业的发展带来信任危机。随着我国保险业快速发展,保险公司信息化建设的需求和实践更加深入。因此,加强对保险业的信息安全监管,是监管机关履行监管职责,保障保险业安全、稳健发展的现实需要。
信息安全监管是保障金融安全和保户权益的重要保证
保险业是信息密集型行业,保险信息系统作为国家重要信息系统之一,其信息安全和网络安全面临着严峻的考验。一旦信息安全受到损害,将严重扰乱国家经济秩序,威胁国家金融安全,而且由于保户数量巨大,将不可避免地损害广大被保险人的切身利益。因此,加强保险业信息安全监管,是监管机关保障国家金融安全、维护保户权益的重要保证。
信息安全监管是促进保险业信息安全标准化的有效途径
目前,各保险机构对于信息安全问题都给予重视和投入,并建立了信息安全管理办法。但由于各保险机构在规模实力、信息技术力量方面有很大差别,信息安全管理水平参差不齐,各保险机构的信息安全建设状况差别较大。缺乏统一规范和指导,保险业信息安全管理的整体水平有待提高,需要监管机关加以规范和推动,促进保险业信息安全管理的标准化和系统化。
当前保险业信息安全监管存在的主要问题
中国保监会早已认识到保险业信息安全监管的重要性,在对保险公司进行充分调研的基础上,给予信息安全建设指导意见,并对保险公司信息化建设在开业验收上加以制度约束。当前各保险公司在信息化方面,成立了信息化工作队伍,初步建立了保险信息安全保障体系,不断完善信息安全管理的各项制度,积极开展信息安全教育培训和宣传。保险监管机关在信息安全监管方面取得很大的成绩,但由于起步较晚,还没有形成一套完整、科学的监管手段,监管的效率和作用尚未充分发挥,主要存在以下问题:
问题一:缺乏有效的技术手段
对保险机构而言,信息安全最重要的两个方面是网络安全和物理安全。由于保险机构的各项业务与内部管理越来越依赖网络和计算机,所以对网络安全与物理设备安全的监管至关重要。目前,监管机关主要通过现场检查、听取汇报、材料上报等方式来获取保险机构相关的情况。这种监管方式的效率比较低,无法快速、真实地了解保险机构的信息安全状况,缺乏一种更直接、有效的技术手段来实施监管。监管的技术手段甚至落后于保险机构的技术水平,影响了监管的有效性。
问题二:缺乏健全的制度约束
保险业缺乏统一的信息安全标准制度体系,各保险机构的信息安全建设各自为政、缺乏参照标准。监管机关在对保险机构的开业审核与常规检查中缺少针对信息安全方面的环节验收,仅在《保险公司分支机构开业统计与信息化建设验收指引》中有部分说明。同时,监管机关对保险机构的信息安全工作缺乏相应的奖惩机制,不利于促使保险机构对信息安全问题给予足够重视,制约了保险业在信息安全建设的发展进程。
问题三:缺乏必要的基础投入
监管机关办公技术手段相对落后,缺乏高效的办公产品。信息安全监管系统尚未健全,缺乏有效地信息安全监管的技术手段。资金与人才尚存在较大缺口。作为国家金融监管体系的重要组成部分,保险监管机关自身的信息化建设不足,将制约信息安全监管职能的有效行使。
问题四:缺乏规范的法制环境
相对于IT行业的快速发展,保险信息安全法制建设滞后。目前,保险业各种借助计算机和网络技术的新产品、新业务逐渐涌现,如:电子商务、网上投保等,这些新的手段和方式极大地推动了保险行业的创新与发展,符合未来的发展方向。对于目前保险机构所提供的,依托于信息技术手段的产品和业务,监管部门尚缺乏相应法律法规在信息安全方面加以规范,对监管工作提出更大挑战。
加强信息安全监管的政策建议
加大资金、技术与人才的投入
面对保险机构种类繁多、迅速发展的信息系统,要进行有效的监管,就必须持续地加大监管机关在资金、技术与人才方面的投入,逐渐提高信息安全监管的技术水平,实现与保险机构平台的对接,保证监管的时效性,促进非现场监管水平的进一步提高。
加强制度建设
一是应加快行业信息安全口径标准统一的进程,制定信息安全标准,保证保险行业信息安全发展有章可循。二是应将信息安全问题作为保险机构新产品销售渠道市场准入的重要参考,从根源上杜绝信息安全漏洞的产生。三是应尽快加强保险业在信息安全、容灾备份和电子商务方面的法规,使保险业信息安全的发展真正做到有法可依。
实施信息安全认证
应结合国家统一的信息安全认证认可体系,实施保险机构的信息安全认证。虽然认证体系建设需要保险机构对现有系统进行改造,增加了保险机构的工作负担和费用预算,但从长期看,实施信息安全认证对于保险行业IT长期发展的规范化、标准化及安全化至关重要。
加强行业交流与合作
一方面,面对不断出现的各种各样的网络安全威胁,单靠一家或几家保险机构的力量是远远不够的,保险业必须加强行业内的交流与合作,共同应对来自信息安全方面的威胁,推动信息安全的发展。另一方面,应加强保险业与IT行业跨行业合作的机制,研究主动防御和安全保障策略,把先进的信息安全技术和保险业的发展紧密结合起来,真正发挥信息技术价值,充分保障保险业安全、稳健发展。