曲震霆

摘要：大數(shù)據(jù)環(huán)境下，企業(yè)年金業(yè)務的管理已經(jīng)全面實現(xiàn)了網(wǎng)絡化運營，信息安全成為經(jīng)營中的重要問題。為提升信息安全管理能力，保障企業(yè)年金經(jīng)營安全，本文從年金管理系統(tǒng)結構剖析信息安全問題的來源，提出實施全業(yè)務流程信息安全管理、建設PDCA信息安全管理體系、健全相關法律法規(guī)，以解決其信息安全問題，這些措施對于正在開展中的職業(yè)年金信息安全管理也具有重要的意義。

關鍵詞：大數(shù)據(jù)：企業(yè)年金：信息安全

DOI：10.3969/j.issn.1008-0821.2019.01.018

[中圖分類號]G203 [文獻標識碼]A [文章編號]1008-0821（2019）01-0148-05

企業(yè)年金，與社會養(yǎng)老保險和商業(yè)養(yǎng)老保險共同構成我國的養(yǎng)老保險體系，是介于二者之間的一種補充養(yǎng)老保險制度。經(jīng)過近30年的發(fā)展，我國的企業(yè)年金不論在規(guī)模、覆蓋面還是在管理能力等方面都有了長足的進步。

隨著互聯(lián)網(wǎng)、大數(shù)據(jù)技術的飛速發(fā)展，企業(yè)年金管理機構所提供的服務已基本實現(xiàn)了信息網(wǎng)絡化，其年金管理信息系統(tǒng)已經(jīng)可以適應多個業(yè)務運作主體、多種年金產(chǎn)品的操作需求，并能夠兼容不同年金政策下多種業(yè)務合同、多種職工福利類型和不同客戶群體的投資偏好。服務的網(wǎng)絡化、數(shù)據(jù)化提升了年金管理機構效率和客戶服務體驗的同時也帶來了新的問題——信息安全問題。在互聯(lián)網(wǎng)大數(shù)據(jù)時代，企業(yè)在推進其信息化進程中本就面臨著各種安全威脅，加之企業(yè)年金管理業(yè)務涉及信息量龐大，利益相關者眾多，信息較為私密的特點，為了保護大數(shù)據(jù)環(huán)境下企業(yè)年金信息的安全，提高信息安全管理水平，加強大數(shù)據(jù)信息安全管理體系研究刻不容緩。

所謂信息安全是指在已知安全等級條件下，信息系統(tǒng)能夠抵御偶然事件或者惡意行為的能力，這些行為會對系統(tǒng)中存儲、處理或傳輸?shù)男畔⒃斐善茐?，從而嚴重影響系統(tǒng)的服務能力。在企業(yè)年金信息管理的過程中，信息安全問題具體表現(xiàn)為由于人為或偶然性因素導致的客戶信息泄露、業(yè)務數(shù)據(jù)外流或篡改，進而影響到年金計劃的整體安全性。

1企業(yè)年金信息安全管理存在的主要問題

對于企業(yè)年金管理機構來說，信息系統(tǒng)是主要的業(yè)務工具，其中的數(shù)據(jù)更是其重要的資產(chǎn)，在大數(shù)據(jù)環(huán)境下這些數(shù)據(jù)資產(chǎn)的價值尤為突出。企業(yè)年金信息安全管理的特殊性在于：信息量大、信息私密性強、參與者眾多。

企業(yè)年金的信息安全管理是以信息系統(tǒng)為基礎的，通常由受托人發(fā)起建設并管理，以國內(nèi)大型保險公司T集團養(yǎng)老保險公司企業(yè)年金信息系統(tǒng)為例，該系統(tǒng)由訪問、功能和數(shù)據(jù)等3個層次構成，如圖1所示：

企業(yè)年金管理過程的實現(xiàn)以信息系統(tǒng)為工具，對外可以通過互聯(lián)網(wǎng)平臺向委托人及其職工提供查詢、投資、咨詢等基本業(yè)務和信息服務，同時為投管人、賬管人等機構提供數(shù)據(jù)接口，并向監(jiān)管部門提供相應的監(jiān)管數(shù)據(jù)。對內(nèi)部員工及管理者來說在辦公、財務等平臺的支持下可以完成年金管理的基本業(yè)務，并為工作人員建立互通機制。不僅如此，信息系統(tǒng)的分析模塊可以自動收集委托人對于年金產(chǎn)品的個性化需求、投資偏好等信息，進行深入的分析并進行后臺的綜合管理。大數(shù)據(jù)環(huán)境下，這一流程中各主體在不同環(huán)節(jié)接收與發(fā)送的信息量的規(guī)模愈加可觀，這就進一步加大了企業(yè)年金信息系統(tǒng)的安全隱患。對于企業(yè)年金管理機構來說，以信息系統(tǒng)為工具，保護數(shù)據(jù)資產(chǎn)，維護信息安全也是其重要的業(yè)務內(nèi)容。

如圖1所示，大數(shù)據(jù)環(huán)境下企業(yè)年金管理的信息安全問題主要來源于業(yè)務流程中與外界環(huán)境進行信息交互的數(shù)據(jù)接口，主要包括年金管理機構、委托人即客戶企業(yè)及其職工和第三方合作機構等方面，具體表現(xiàn)為：

1.1挖掘客戶信息，保護力度不足

企業(yè)年金管理機構在進行業(yè)務活動的過程中傾向于擴大客戶信息收集范圍并進行深度數(shù)據(jù)挖掘，而對于信息保護的重視不足。對于商業(yè)化的年金管理機構而言，收集越多的客戶信息對其業(yè)務開展越有利，利用先進的數(shù)據(jù)加工和數(shù)據(jù)挖掘技術還可以得到更有價值的信息。比如結合職工的年齡、收入、學歷等自然信息和其投資選擇信息，可以判斷其投資習慣，推斷其投資偏好，從而用來為其推薦其他保險或理財產(chǎn)品；如果將企業(yè)信息和職工總體的收入和投資偏好信息相結合就可以幫助投管人制定更有吸引力的投資組合方案。這些信息及其分析結果都是年金管理機構的隱形財富，并且隨著數(shù)量的增長價值也在提升，但如果其保密性或者安全性不能得到很好的保證，則會成為風險隱患。另外，操作失誤、維護不當?shù)热藶橐蛩匾彩菍е滦畔踩珕栴}的重要原因，甚至可能發(fā)生工作人員出于經(jīng)濟利益等原因故意泄露客戶信息的情況。

1.2網(wǎng)絡節(jié)點眾多，存在安全隱患

企業(yè)年金管理信息系統(tǒng)的技術及其網(wǎng)絡維護也是導致信息安全問題的重要原因。一方面，信息系統(tǒng)的設計軟件不能做到無懈可擊，一定會存在漏洞和“后門”，都有可能成為黑客攻擊的突破口，其后果對企業(yè)年金管理信息系統(tǒng)來說是災難性的。另一方面，在互聯(lián)網(wǎng)大數(shù)據(jù)環(huán)境下，企業(yè)年金業(yè)務在多個管理者之間基于開放的互聯(lián)網(wǎng)平臺運行，涉及委托人、受托人、托管人、賬管人、投管人、監(jiān)管機構等多方主體，還包括外包服務供應商，網(wǎng)絡節(jié)點眾多，大大增加了信息安全的關聯(lián)風險。

1.3管理能力有限，疏于安全管理

企業(yè)年金計劃的直接客戶是委托人企業(yè)，作為參加年金計劃職工方的組織者和代表，委托人一方面面向職工收集相關信息，另一方面面向年金管理機構溝通業(yè)務流程信息，因此能夠掌握到企業(yè)年金最基本的信息，包括：向受托人提交賬戶及其變更信息、待遇支付申請、個人賬戶轉(zhuǎn)移申請，并向賬管人提供相關賬戶信息；向托管人繳納企業(yè)及職工費用，并向賬管人提供繳費信息；與投管人溝通投資組合方案，與職工溝通完成投資選擇，分配收益，并與賬管人共享分配信息。委托人方面任何人為或技術上的疏漏都會對企業(yè)年金管理信息系統(tǒng)的整體信息安全造成威脅。

1.4安全意識薄弱，操作產(chǎn)生風險

委托人企業(yè)職工作為企業(yè)年金服務的最終客戶，運作過程中得到的服務包括：申請及建立個人賬戶、變更信息、按月自動繳費、選擇投資工具、記錄投資收益、查詢賬戶余額，以及養(yǎng)老金領取等。在日常使用企業(yè)年金信息系統(tǒng)時的主要權限則是針對個人賬戶的查詢、更新和投資選擇，如使用過程中網(wǎng)絡安全意識薄弱，或缺乏相關知識技能，發(fā)生操作不當或被網(wǎng)絡攻擊，會對個人賬戶信息產(chǎn)生風險，但一般不會對信息系統(tǒng)整體造成大范圍的影響。

1.5合作機構疏忽，引發(fā)安全事故

在企業(yè)年金管理的業(yè)務中，來自第三方服務的外包機構主要負責數(shù)據(jù)庫的建立和維護，在信息安全問題中起到至關重要的作用，也是在大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理中較為薄弱的一環(huán)。來自第三方的風險，一方面在于外包機構的信息管理能力：其所建數(shù)據(jù)庫的安全等級以及維護能力，比如2015年某大型保險集團發(fā)生的大規(guī)模客戶信息泄露事件，就是由于數(shù)據(jù)錄入外包服務商系統(tǒng)漏洞導致的；另一方面在于外包機構的信譽：如果外包機構將獲得的信息資料惡意散播出去，無疑會對企業(yè)年金及信息管理機構產(chǎn)生極為不利的影響。

2大數(shù)據(jù)環(huán)境下企業(yè)年金信息安全管理策略

2.1實施全業(yè)務流程信息安全管理

我國企業(yè)年金管理的治理結構是以受托人為核心的，接受委托人（通常為參加企業(yè)年金計劃的企業(yè)）的業(yè)務委托，選擇并監(jiān)督其他管理者共同開展業(yè)務（具體業(yè)務流程如圖2所示）。數(shù)據(jù)信息的流動貫穿企業(yè)年金服務的整個過程.是年金管理業(yè)務的核心，要保證信息安全，這就對企業(yè)年金信息系統(tǒng)的功能、效率和安全性指標以及全流程的管理、控制工作都有較高的要求。

企業(yè)年金管理機構對年金業(yè)務開展過程中信息安全問題預防和補救負有主要責任，增加研發(fā)投入，建設保護信息安全的技術系統(tǒng)，創(chuàng)造良好的信息安全環(huán)境，采取有效的應對措施防范信息泄露。管理機構應在人社部下發(fā)的《企業(yè)年金基金賬戶管理信息系統(tǒng)規(guī)范》等政策法規(guī)的指引下，根據(jù)安全級別，建立多層次防護策略，建立防止信息泄露的長效機制和防御體系。判斷安全級別，有效保護核心數(shù)據(jù)，降低企業(yè)年金管理信息系統(tǒng)信息泄露的風險。同時，各管理機構要加強信息溝通過程中的信息安全防護，并管理好合作的數(shù)據(jù)錄入等第三方平臺，做好風險評估和防范工作。

完善企業(yè)年金信息安全管理制度，提升企業(yè)年金信息安全管理能力，需要建立全流程的監(jiān)管體系，對信息流動的整個過程進行實時監(jiān)控，了解各環(huán)節(jié)的安全隱患、風險等級，隨時掌握信息的傳遞及保密情況；需要所涉各主體的共同參與和配合，明確流程中各環(huán)節(jié)的主要責任，負責重點把控各業(yè)務環(huán)節(jié)的安全保障，同時共同配合建立和執(zhí)行統(tǒng)一的安全管理政策和措施。

2.2建設PDCA信息安全管理體系

企業(yè)年金管理機構在大數(shù)據(jù)環(huán)境下.可以采用PDCA循環(huán)建立信息安全管理體系，提升信息安全管理能力。

PDCA循環(huán)也稱為戴明環(huán)，最早應用于質(zhì)量管理領域，將能力提升的1個周期分為計劃（Plan）、執(zhí)行（Do）、檢查（Check）、改進（Action）4個階段，并隨時間推移而迭代循環(huán)持續(xù)改進，如圖3所示：

應用PDCA循環(huán)，提升企業(yè)年金信息安全管理體系的4個階段包括：

2.2.1計劃階段

企業(yè)年金信息安全管理體系建設計劃階段的重點在于提供組織保障，建設信息安預案。一方面做好信息安全管理的準備工作，在年金管理機構和委托人中組建安全管理組織，分配信息安全管理角色，建立大數(shù)據(jù)安全管理體系框架，結合年金管理業(yè)務流程制定信息安全管理過程策略，明確各主體信息安全管理范圍和權限，成立信息安全委員會，保障管理順利進行；另一方面，對年金管理全業(yè)務流程數(shù)據(jù)信息進行梳理，分析各業(yè)務節(jié)點可能出現(xiàn)的安全隱患，減少信息安全問題發(fā)生，一旦發(fā)生問題，能迅速采取措施減少損失，并能夠明確追溯問題成因和責任歸屬。

2.2.2實施階段

企業(yè)年金信息安全管理進入實施階段，應首先明確信息安全管理目標，進行風險分析，調(diào)查分析當前信息系統(tǒng)中安全狀況與要求的差距，從關鍵節(jié)點和關鍵問題入收，發(fā)現(xiàn)年金管理系統(tǒng)中存在的安全漏洞和可能的風險，確認與之相關的責任機構和責任人，制定有針對性的改進方案。其次，要加強員工信息安全培訓，在運用技術加強網(wǎng)絡基礎設施的建設，提升系統(tǒng)信息安全的同時，還需要強化內(nèi)部員工的保密義務?？蛻舻钠髽I(yè)或個人信息及其數(shù)據(jù)挖掘的信息對于年金管理機構來說屬于數(shù)據(jù)資產(chǎn)和商業(yè)秘密，必須在內(nèi)部通過建立規(guī)章制度和員工教育，明確員工的職業(yè)規(guī)范、保密義務和獎懲規(guī)則，規(guī)范員工職業(yè)行為，提升員工職業(yè)素養(yǎng)。再次，與委托人企業(yè)配合，加強客戶安全教育?？蛻魧ψ陨硇畔⒌闹匾暢潭仍诤艽蟪潭壬嫌绊懫湫畔踩?，委托人企業(yè)要配合受托人承擔起職工信息安全教育的責任，加強信息安全防范意識。在向企業(yè)年金管理平臺發(fā)送個人信息，以及使用查詢等功能時保護信息的措施，在安全環(huán)境下登錄，設置較復雜密碼，定期清除網(wǎng)絡痕跡等。

2.2.3檢查階段

企業(yè)年金信息安全管理體系的檢查階段要以日常安全管理檢查為主，同時建立自動報警機制。前者作為企業(yè)年金管理中信息安全問題最主要的保障措施，通過定期檢查、內(nèi)部審計等日常檢查工作查看信息安全管理措施是否有效、是否符合管理標準，并記錄檢查結果，作為改進階段的依據(jù)。后者則是應對突發(fā)狀況的有力工具，在大數(shù)據(jù)環(huán)境下，企業(yè)年金信息系統(tǒng)持續(xù)性地與外界進行規(guī)模龐大的信息交互，這一過程涉及的參與主體多、影響因素廣泛，即便企業(yè)有規(guī)范的業(yè)務流程和監(jiān)察制度，仍難以預測和抵御一些突發(fā)性的信息安全問題，自動報警機制具備靈敏度高、實時監(jiān)控的特點，便于應對突發(fā)問題，及時采取應對措施。

2.2.4改進階段

建設企業(yè)年金信息安全管理體系，改進階段要針對檢查階段的審查記錄，有針對性的彌補信息安全管理中的缺失，修改和完善。已發(fā)現(xiàn)并有效解決的問題，要總結經(jīng)驗繼續(xù)優(yōu)化；未能解決的問題，分析原因，留待下一循環(huán)繼續(xù)改進。針對本循環(huán)中出現(xiàn)的突發(fā)性信息安全問題，經(jīng)自動報警機制識別出后，要迅速分析問題性質(zhì)和緊急程度，啟用計劃階段建立的信息安全預案，及時采取措施，防止問題擴大化。

綜上所述，在大數(shù)據(jù)環(huán)境下企業(yè)年金管理機構建設PDCA信息安全管理體系的過程是循環(huán)上升的過程，如圖3所示，每一個循環(huán)周期都會使信息安全管理的水平得到一次提升。不斷設立新的管理目標，完成管理提升的循環(huán)，全面維護企業(yè)年金管理信息的安全，是企業(yè)年金信息安全管理體系建設的目標，也是年金管理機構的重要職責。

2.3健全信息安全管理法律法規(guī)

客戶接受企業(yè)年金服務過程中的信息安全權利不僅要靠管理機構的技術和人員培訓，必須要建立完善的責任制度才能得到最大程度的保障。目前現(xiàn)行的監(jiān)管辦法中對于企業(yè)年金管理機構違反規(guī)定侵害客戶信息安全做了一定程度的責任設置，但缺少具有實踐性的民事責任的制度設計，客戶因為信息安全問題造成的損失很難獲得補償。要通過完善相關立法的行業(yè)規(guī)則明確管理機構違反合同義務時應承擔的責任，增加其違法違規(guī)的成本，減少信息安全問題事件的發(fā)生，從而保護客戶的信息不受侵害。

3結語

企業(yè)年金的業(yè)務特征決定了參與其中的主體較多，主體間必須有流暢信息溝通，業(yè)務開展過程中涉及的客戶隱私信息和業(yè)務數(shù)據(jù)數(shù)量都非常巨大，一旦發(fā)生信息安全問題其破壞性也是非常嚴重的。大數(shù)據(jù)環(huán)境下企業(yè)年金管理業(yè)務必然以網(wǎng)絡作為載體，涉及因素更多，大大增加了信息泄露的安全隱患。不僅是企業(yè)年金，正在開展中的職業(yè)年金也存在著類似的信息安全問題，因此，有必要在理論和實踐中繼續(xù)探索如何提升年金管理過程中的信息安全。