浅谈险企的数据分类分级管理
黄宇翔/精算产品部
数字经济时代,数据是保险行业的核心战略资产,数据安全更是公司合规经营的生命线。数据分类分级是数据安全治理的核心基础,既是落实《数据安全法》《银行保险机构数据安全监管办法》等监管要求的硬性规定,也是险企实现数据精准防护、高效利用的重要前提。借本期《华安保险》,与各位读者一同了解数据分类分级管理的具体内容、核心内涵与实践要求。
数据分类分级,核心是通过“横向分类、纵向分级”,为公司全量数据建立清晰的“身份档案”与“防护标尺”,实现“按类管理、按级防护”。
数据分类,是对数据资产的横向梳理,即按照数据的业务属性、来源场景划定归属类别。结合监管要求、行业标准与我司经营实际,目前,我们将全量数据划分为四大核心类别:一是客户数据,例如个人投保客户的身份信息、企业合作单位的基础经营信息等;二是业务数据,涵盖承保、理赔、精算定价、再保等全业务流程产生的核心数据;三是经营管理数据,包括公司战略规划、财务预决算、人力资源、偿付能力、绩效考核等管理类信息;四是系统运行和安全管理数据,比如核心业务系统运行日志、安全配置、运维数据等。
数据分级,是对风险等级的纵向划定,公司严格遵循监管定义,根据数据一旦泄露、篡改、损毁,可能造成的危害范围与影响程度,从高到低划分为四个等级,级别越高,管控要求越严格:
核心数据(4级):是指对领域、群体、区域具有较高覆盖度或高精度、大规模的重要数据,非法使用会直接影响国家安全、国民经济命脉、重大公共利益,例如规模达1亿条及以上可识别主体的个人疾病诊疗数据集合;
重要数据(3级):是指特定领域、群体、区域的一定精度和规模的数据,泄露会直接危害国家安全、经济
运行、社会稳定,例如100万条及以上个人客户敏感信息集合、军车车险承保理赔数据、未公开的重大战略规划信息等;
敏感数据(2级):是指泄露后对经济运行、公共利益有一定影响,或对公司、个人造成重要影响的数据,例如客户个人金融信息、个体承保理赔明细、精算定价模型、未公开的财务数据等;
一般数据(1级):是指可公开披露、泄露后无实质危害的数据,例如公司官方发布的年报摘要、产品公示信息、公开宣传资料等。
精算产品部是公司数据分类分级管理的归口管理部门,承担 “牵头抓总” 的核心职责,负责牵头搭建分类分级规则体系,制定统一标准并维护全公司数据资产目录;建立数据级别动态调整机制,确保防护措施与数据风险等级始终匹配;深度参与数据共享、对外提供等环节的安全评估,按监管要求定期报送重要数据目录。
各业务及管理部门则是数据分类分级的直接责任主体,需重点落实以下四项工作:一是全面梳理本部门数据资产,按公司统一标准完成精准分类定级;二是严格落实对应等级的安全防护措施,严控高等级数据的知悉范围与使用流程;三是数据属性、风险等级发生变化时,及时发起级别调整申请;四是常态化开展部门内部数据安全培训,将合规要求落实到业务全流程。
数据安全无小事。分类分级管理是一项常态化、持续性的系统工程,需要公司各部门协同完善管理体系,将数据安全融入业务经营的每一个环节,才能切实筑牢公司的数据安全防线。