大數據環境下企業年金信息安全管理問題與策略研究

曲震霆

摘要：大數據環境下，企業年金業務的管理已經全面實現了網絡化運營，信息安全成為經營中的重要問題。為提升信息安全管理能力，保障企業年金經營安全，本文從年金管理系統結構剖析信息安全問題的來源，提出實施全業務流程信息安全管理、建設PDCA信息安全管理體系、健全相關法律法規，以解決其信息安全問題，這些措施對于正在開展中的職業年金信息安全管理也具有重要的意義。

關鍵詞：大數據：企業年金：信息安全

DOI：10.3969/j.issn.1008-0821.2019.01.018

[中圖分類號]G203 [文獻標識碼]A [文章編號]1008-0821（2019）01-0148-05

企業年金，與社會養老保險和商業養老保險共同構成我國的養老保險體系，是介于二者之間的一種補充養老保險制度。經過近30年的發展，我國的企業年金不論在規模、覆蓋面還是在管理能力等方面都有了長足的進步。

隨著互聯網、大數據技術的飛速發展，企業年金管理機構所提供的服務已基本實現了信息網絡化，其年金管理信息系統已經可以適應多個業務運作主體、多種年金產品的操作需求，并能夠兼容不同年金政策下多種業務合同、多種職工福利類型和不同客戶群體的投資偏好。服務的網絡化、數據化提升了年金管理機構效率和客戶服務體驗的同時也帶來了新的問題——信息安全問題。在互聯網大數據時代，企業在推進其信息化進程中本就面臨著各種安全威脅，加之企業年金管理業務涉及信息量龐大，利益相關者眾多，信息較為私密的特點，為了保護大數據環境下企業年金信息的安全，提高信息安全管理水平，加強大數據信息安全管理體系研究刻不容緩。

所謂信息安全是指在已知安全等級條件下，信息系統能夠抵御偶然事件或者惡意行為的能力，這些行為會對系統中存儲、處理或傳輸的信息造成破壞，從而嚴重影響系統的服務能力。在企業年金信息管理的過程中，信息安全問題具體表現為由于人為或偶然性因素導致的客戶信息泄露、業務數據外流或篡改，進而影響到年金計劃的整體安全性。

1企業年金信息安全管理存在的主要問題

對于企業年金管理機構來說，信息系統是主要的業務工具，其中的數據更是其重要的資產，在大數據環境下這些數據資產的價值尤為突出。企業年金信息安全管理的特殊性在于：信息量大、信息私密性強、參與者眾多。

企業年金的信息安全管理是以信息系統為基礎的，通常由受托人發起建設并管理，以國內大型保險公司T集團養老保險公司企業年金信息系統為例，該系統由訪問、功能和數據等3個層次構成，如圖1所示：

企業年金管理過程的實現以信息系統為工具，對外可以通過互聯網平臺向委托人及其職工提供查詢、投資、咨詢等基本業務和信息服務，同時為投管人、賬管人等機構提供數據接口，并向監管部門提供相應的監管數據。對內部員工及管理者來說在辦公、財務等平臺的支持下可以完成年金管理的基本業務，并為工作人員建立互通機制。不僅如此，信息系統的分析模塊可以自動收集委托人對于年金產品的個性化需求、投資偏好等信息，進行深入的分析并進行后臺的綜合管理。大數據環境下，這一流程中各主體在不同環節接收與發送的信息量的規模愈加可觀，這就進一步加大了企業年金信息系統的安全隱患。對于企業年金管理機構來說，以信息系統為工具，保護數據資產，維護信息安全也是其重要的業務內容。

如圖1所示，大數據環境下企業年金管理的信息安全問題主要來源于業務流程中與外界環境進行信息交互的數據接口，主要包括年金管理機構、委托人即客戶企業及其職工和第三方合作機構等方面，具體表現為：

1.1挖掘客戶信息，保護力度不足

企業年金管理機構在進行業務活動的過程中傾向于擴大客戶信息收集范圍并進行深度數據挖掘，而對于信息保護的重視不足。對于商業化的年金管理機構而言，收集越多的客戶信息對其業務開展越有利，利用先進的數據加工和數據挖掘技術還可以得到更有價值的信息。比如結合職工的年齡、收入、學歷等自然信息和其投資選擇信息，可以判斷其投資習慣，推斷其投資偏好，從而用來為其推薦其他保險或理財產品；如果將企業信息和職工總體的收入和投資偏好信息相結合就可以幫助投管人制定更有吸引力的投資組合方案。這些信息及其分析結果都是年金管理機構的隱形財富，并且隨著數量的增長價值也在提升，但如果其保密性或者安全性不能得到很好的保證，則會成為風險隱患。另外，操作失誤、維護不當等人為因素也是導致信息安全問題的重要原因，甚至可能發生工作人員出于經濟利益等原因故意泄露客戶信息的情況。

1.2網絡節點眾多，存在安全隱患

企業年金管理信息系統的技術及其網絡維護也是導致信息安全問題的重要原因。一方面，信息系統的設計軟件不能做到無懈可擊，一定會存在漏洞和“后門”，都有可能成為黑客攻擊的突破口，其后果對企業年金管理信息系統來說是災難性的。另一方面，在互聯網大數據環境下，企業年金業務在多個管理者之間基于開放的互聯網平臺運行，涉及委托人、受托人、托管人、賬管人、投管人、監管機構等多方主體，還包括外包服務供應商，網絡節點眾多，大大增加了信息安全的關聯風險。

1.3管理能力有限，疏于安全管理

企業年金計劃的直接客戶是委托人企業，作為參加年金計劃職工方的組織者和代表，委托人一方面面向職工收集相關信息，另一方面面向年金管理機構溝通業務流程信息，因此能夠掌握到企業年金最基本的信息，包括：向受托人提交賬戶及其變更信息、待遇支付申請、個人賬戶轉移申請，并向賬管人提供相關賬戶信息；向托管人繳納企業及職工費用，并向賬管人提供繳費信息；與投管人溝通投資組合方案，與職工溝通完成投資選擇，分配收益，并與賬管人共享分配信息。委托人方面任何人為或技術上的疏漏都會對企業年金管理信息系統的整體信息安全造成威脅。

1.4安全意識薄弱，操作產生風險

委托人企業職工作為企業年金服務的最終客戶，運作過程中得到的服務包括：申請及建立個人賬戶、變更信息、按月自動繳費、選擇投資工具、記錄投資收益、查詢賬戶余額，以及養老金領取等。在日常使用企業年金信息系統時的主要權限則是針對個人賬戶的查詢、更新和投資選擇，如使用過程中網絡安全意識薄弱，或缺乏相關知識技能，發生操作不當或被網絡攻擊，會對個人賬戶信息產生風險，但一般不會對信息系統整體造成大范圍的影響。

1.5合作機構疏忽，引發安全事故

在企業年金管理的業務中，來自第三方服務的外包機構主要負責數據庫的建立和維護，在信息安全問題中起到至關重要的作用，也是在大數據環境下企業年金信息安全管理中較為薄弱的一環。來自第三方的風險，一方面在于外包機構的信息管理能力：其所建數據庫的安全等級以及維護能力，比如2015年某大型保險集團發生的大規模客戶信息泄露事件，就是由于數據錄入外包服務商系統漏洞導致的；另一方面在于外包機構的信譽：如果外包機構將獲得的信息資料惡意散播出去，無疑會對企業年金及信息管理機構產生極為不利的影響。

2大數據環境下企業年金信息安全管理策略

2.1實施全業務流程信息安全管理

我國企業年金管理的治理結構是以受托人為核心的，接受委托人（通常為參加企業年金計劃的企業）的業務委托，選擇并監督其他管理者共同開展業務（具體業務流程如圖2所示）。數據信息的流動貫穿企業年金服務的整個過程.是年金管理業務的核心，要保證信息安全，這就對企業年金信息系統的功能、效率和安全性指標以及全流程的管理、控制工作都有較高的要求。

企業年金管理機構對年金業務開展過程中信息安全問題預防和補救負有主要責任，增加研發投入，建設保護信息安全的技術系統，創造良好的信息安全環境，采取有效的應對措施防范信息泄露。管理機構應在人社部下發的《企業年金基金賬戶管理信息系統規范》等政策法規的指引下，根據安全級別，建立多層次防護策略，建立防止信息泄露的長效機制和防御體系。判斷安全級別，有效保護核心數據，降低企業年金管理信息系統信息泄露的風險。同時，各管理機構要加強信息溝通過程中的信息安全防護，并管理好合作的數據錄入等第三方平臺，做好風險評估和防范工作。

完善企業年金信息安全管理制度，提升企業年金信息安全管理能力，需要建立全流程的監管體系，對信息流動的整個過程進行實時監控，了解各環節的安全隱患、風險等級，隨時掌握信息的傳遞及保密情況；需要所涉各主體的共同參與和配合，明確流程中各環節的主要責任，負責重點把控各業務環節的安全保障，同時共同配合建立和執行統一的安全管理政策和措施。

2.2建設PDCA信息安全管理體系

企業年金管理機構在大數據環境下.可以采用PDCA循環建立信息安全管理體系，提升信息安全管理能力。

PDCA循環也稱為戴明環，最早應用于質量管理領域，將能力提升的1個周期分為計劃（Plan）、執行（Do）、檢查（Check）、改進（Action）4個階段，并隨時間推移而迭代循環持續改進，如圖3所示：

應用PDCA循環，提升企業年金信息安全管理體系的4個階段包括：

2.2.1計劃階段

企業年金信息安全管理體系建設計劃階段的重點在于提供組織保障，建設信息安預案。一方面做好信息安全管理的準備工作，在年金管理機構和委托人中組建安全管理組織，分配信息安全管理角色，建立大數據安全管理體系框架，結合年金管理業務流程制定信息安全管理過程策略，明確各主體信息安全管理范圍和權限，成立信息安全委員會，保障管理順利進行；另一方面，對年金管理全業務流程數據信息進行梳理，分析各業務節點可能出現的安全隱患，減少信息安全問題發生，一旦發生問題，能迅速采取措施減少損失，并能夠明確追溯問題成因和責任歸屬。

2.2.2實施階段

企業年金信息安全管理進入實施階段，應首先明確信息安全管理目標，進行風險分析，調查分析當前信息系統中安全狀況與要求的差距，從關鍵節點和關鍵問題入收，發現年金管理系統中存在的安全漏洞和可能的風險，確認與之相關的責任機構和責任人，制定有針對性的改進方案。其次，要加強員工信息安全培訓，在運用技術加強網絡基礎設施的建設，提升系統信息安全的同時，還需要強化內部員工的保密義務。客戶的企業或個人信息及其數據挖掘的信息對于年金管理機構來說屬于數據資產和商業秘密，必須在內部通過建立規章制度和員工教育，明確員工的職業規范、保密義務和獎懲規則，規范員工職業行為，提升員工職業素養。再次，與委托人企業配合，加強客戶安全教育。客戶對自身信息的重視程度在很大程度上影響其信息安全，委托人企業要配合受托人承擔起職工信息安全教育的責任，加強信息安全防范意識。在向企業年金管理平臺發送個人信息，以及使用查詢等功能時保護信息的措施，在安全環境下登錄，設置較復雜密碼，定期清除網絡痕跡等。

2.2.3檢查階段

企業年金信息安全管理體系的檢查階段要以日常安全管理檢查為主，同時建立自動報警機制。前者作為企業年金管理中信息安全問題最主要的保障措施，通過定期檢查、內部審計等日常檢查工作查看信息安全管理措施是否有效、是否符合管理標準，并記錄檢查結果，作為改進階段的依據。后者則是應對突發狀況的有力工具，在大數據環境下，企業年金信息系統持續性地與外界進行規模龐大的信息交互，這一過程涉及的參與主體多、影響因素廣泛，即便企業有規范的業務流程和監察制度，仍難以預測和抵御一些突發性的信息安全問題，自動報警機制具備靈敏度高、實時監控的特點，便于應對突發問題，及時采取應對措施。

2.2.4改進階段

建設企業年金信息安全管理體系，改進階段要針對檢查階段的審查記錄，有針對性的彌補信息安全管理中的缺失，修改和完善。已發現并有效解決的問題，要總結經驗繼續優化；未能解決的問題，分析原因，留待下一循環繼續改進。針對本循環中出現的突發性信息安全問題，經自動報警機制識別出后，要迅速分析問題性質和緊急程度，啟用計劃階段建立的信息安全預案，及時采取措施，防止問題擴大化。

綜上所述，在大數據環境下企業年金管理機構建設PDCA信息安全管理體系的過程是循環上升的過程，如圖3所示，每一個循環周期都會使信息安全管理的水平得到一次提升。不斷設立新的管理目標，完成管理提升的循環，全面維護企業年金管理信息的安全，是企業年金信息安全管理體系建設的目標，也是年金管理機構的重要職責。

2.3健全信息安全管理法律法規

客戶接受企業年金服務過程中的信息安全權利不僅要靠管理機構的技術和人員培訓，必須要建立完善的責任制度才能得到最大程度的保障。目前現行的監管辦法中對于企業年金管理機構違反規定侵害客戶信息安全做了一定程度的責任設置，但缺少具有實踐性的民事責任的制度設計，客戶因為信息安全問題造成的損失很難獲得補償。要通過完善相關立法的行業規則明確管理機構違反合同義務時應承擔的責任，增加其違法違規的成本，減少信息安全問題事件的發生，從而保護客戶的信息不受侵害。

3結語

企業年金的業務特征決定了參與其中的主體較多，主體間必須有流暢信息溝通，業務開展過程中涉及的客戶隱私信息和業務數據數量都非常巨大，一旦發生信息安全問題其破壞性也是非常嚴重的。大數據環境下企業年金管理業務必然以網絡作為載體，涉及因素更多，大大增加了信息泄露的安全隱患。不僅是企業年金，正在開展中的職業年金也存在著類似的信息安全問題，因此，有必要在理論和實踐中繼續探索如何提升年金管理過程中的信息安全。