大数据环境下企业年金信息安全管理问题与策略研究

曲震霆

摘要：大数据环境下，企业年金业务的管理已经全面实现了网络化运营，信息安全成为经营中的重要问题。为提升信息安全管理能力，保障企业年金经营安全，本文从年金管理系统结构剖析信息安全问题的来源，提出实施全业务流程信息安全管理、建设PDCA信息安全管理體系、健全相关法律法规，以解决其信息安全问题，这些措施对于正在开展中的职业年金信息安全管理也具有重要的意义。

关键词：大数据：企业年金：信息安全

DOI：10.3969/j.issn.1008-0821.2019.01.018

[中图分类号]G203 [文献标识码]A [文章编号]1008-0821（2019）01-0148-05

企业年金，与社会养老保险和商业养老保险共同构成我国的养老保险体系，是介于二者之间的一种补充养老保险制度。经过近30年的发展，我国的企业年金不论在规模、覆盖面还是在管理能力等方面都有了长足的进步。

随着互联网、大数据技术的飞速发展，企业年金管理机构所提供的服务已基本实现了信息网络化，其年金管理信息系统已经可以适应多个业务运作主体、多种年金产品的操作需求，并能够兼容不同年金政策下多种业务合同、多种职工福利类型和不同客户群体的投资偏好。服务的网络化、数据化提升了年金管理机构效率和客户服务体验的同时也带来了新的问题——信息安全问题。在互联网大数据时代，企业在推进其信息化进程中本就面临着各种安全威胁，加之企业年金管理业务涉及信息量庞大，利益相关者众多，信息较为私密的特点，为了保护大数据环境下企业年金信息的安全，提高信息安全管理水平，加强大数据信息安全管理体系研究刻不容缓。

所谓信息安全是指在已知安全等级条件下，信息系统能够抵御偶然事件或者恶意行为的能力，这些行为会对系统中存储、处理或传输的信息造成破坏，从而严重影响系统的服务能力。在企业年金信息管理的过程中，信息安全问题具体表现为由于人为或偶然性因素导致的客户信息泄露、业务数据外流或篡改，进而影响到年金计划的整体安全性。

1企业年金信息安全管理存在的主要问题

对于企业年金管理机构来说，信息系统是主要的业务工具，其中的数据更是其重要的资产，在大数据环境下这些数据资产的价值尤为突出。企业年金信息安全管理的特殊性在于：信息量大、信息私密性强、参与者众多。

企业年金的信息安全管理是以信息系统为基础的，通常由受托人发起建设并管理，以国内大型保险公司T集团养老保险公司企业年金信息系统为例，该系统由访问、功能和数据等3个层次构成，如图1所示：

企业年金管理过程的实现以信息系统为工具，对外可以通过互联网平台向委托人及其职工提供查询、投资、咨询等基本业务和信息服务，同时为投管人、账管人等机构提供数据接口，并向监管部门提供相应的监管数据。对内部员工及管理者来说在办公、财务等平台的支持下可以完成年金管理的基本业务，并为工作人员建立互通机制。不仅如此，信息系统的分析模块可以自动收集委托人对于年金产品的个性化需求、投资偏好等信息，进行深入的分析并进行后台的综合管理。大数据环境下，这一流程中各主体在不同环节接收与发送的信息量的规模愈加可观，这就进一步加大了企业年金信息系统的安全隐患。对于企业年金管理机构来说，以信息系统为工具，保护数据资产，维护信息安全也是其重要的业务内容。

如图1所示，大数据环境下企业年金管理的信息安全问题主要来源于业务流程中与外界环境进行信息交互的数据接口，主要包括年金管理机构、委托人即客户企业及其职工和第三方合作机构等方面，具体表现为：

1.1挖掘客户信息，保护力度不足

企业年金管理机构在进行业务活动的过程中倾向于扩大客户信息收集范围并进行深度数据挖掘，而对于信息保护的重视不足。对于商业化的年金管理机构而言，收集越多的客户信息对其业务开展越有利，利用先进的数据加工和数据挖掘技术还可以得到更有价值的信息。比如结合职工的年龄、收入、学历等自然信息和其投资选择信息，可以判断其投资习惯，推断其投资偏好，从而用来为其推荐其他保险或理财产品；如果将企业信息和职工总体的收入和投资偏好信息相结合就可以帮助投管人制定更有吸引力的投资组合方案。这些信息及其分析结果都是年金管理机构的隐形财富，并且随着数量的增长价值也在提升，但如果其保密性或者安全性不能得到很好的保证，则会成为风险隐患。另外，操作失误、维护不当等人为因素也是导致信息安全问题的重要原因，甚至可能发生工作人员出于经济利益等原因故意泄露客户信息的情况。

1.2网络节点众多，存在安全隐患

企业年金管理信息系统的技术及其网络维护也是导致信息安全问题的重要原因。一方面，信息系统的设计软件不能做到无懈可击，一定会存在漏洞和“后门”，都有可能成为黑客攻击的突破口，其后果对企业年金管理信息系统来说是灾难性的。另一方面，在互联网大数据环境下，企业年金业务在多个管理者之间基于开放的互联网平台运行，涉及委托人、受托人、托管人、账管人、投管人、监管机构等多方主体，还包括外包服务供应商，网络节点众多，大大增加了信息安全的关联风险。

1.3管理能力有限，疏于安全管理

企业年金计划的直接客户是委托人企业，作为参加年金计划职工方的组织者和代表，委托人一方面面向职工收集相关信息，另一方面面向年金管理机构沟通业务流程信息，因此能够掌握到企业年金最基本的信息，包括：向受托人提交账户及其变更信息、待遇支付申请、个人账户转移申请，并向账管人提供相关账户信息；向托管人缴纳企业及职工费用，并向账管人提供缴费信息；与投管人沟通投资组合方案，与职工沟通完成投资选择，分配收益，并与账管人共享分配信息。委托人方面任何人为或技术上的疏漏都会对企业年金管理信息系统的整体信息安全造成威胁。

1.4安全意识薄弱，操作产生风险

委托人企业职工作为企业年金服务的最终客户，运作过程中得到的服务包括：申请及建立个人账户、变更信息、按月自动缴费、选择投资工具、记录投资收益、查询账户余额，以及养老金领取等。在日常使用企业年金信息系统时的主要权限则是针对个人账户的查询、更新和投资选择，如使用过程中网络安全意识薄弱，或缺乏相关知识技能，发生操作不当或被网络攻击，会对个人账户信息产生风险，但一般不会对信息系统整体造成大范围的影响。

1.5合作机构疏忽，引发安全事故

在企业年金管理的业务中，来自第三方服务的外包机构主要负责数据库的建立和维护，在信息安全问题中起到至关重要的作用，也是在大数据环境下企业年金信息安全管理中较为薄弱的一环。来自第三方的风险，一方面在于外包机构的信息管理能力：其所建数据库的安全等级以及维护能力，比如2015年某大型保险集团发生的大规模客户信息泄露事件，就是由于数据录入外包服务商系统漏洞导致的；另一方面在于外包机构的信誉：如果外包机构将获得的信息资料恶意散播出去，无疑会对企业年金及信息管理机构产生极为不利的影响。

2大数据环境下企业年金信息安全管理策略

2.1实施全业务流程信息安全管理

我国企业年金管理的治理结构是以受托人为核心的，接受委托人（通常为参加企业年金计划的企业）的业务委托，选择并监督其他管理者共同开展业务（具体业务流程如图2所示）。数据信息的流动贯穿企业年金服务的整个过程.是年金管理业务的核心，要保证信息安全，这就对企业年金信息系统的功能、效率和安全性指标以及全流程的管理、控制工作都有较高的要求。

企业年金管理机构对年金业务开展过程中信息安全问题预防和补救负有主要责任，增加研发投入，建设保护信息安全的技术系统，创造良好的信息安全环境，采取有效的应对措施防范信息泄露。管理机构应在人社部下发的《企业年金基金账户管理信息系统规范》等政策法规的指引下，根据安全級别，建立多层次防护策略，建立防止信息泄露的长效机制和防御体系。判断安全级别，有效保护核心数据，降低企业年金管理信息系统信息泄露的风险。同时，各管理机构要加强信息沟通过程中的信息安全防护，并管理好合作的数据录入等第三方平台，做好风险评估和防范工作。

完善企业年金信息安全管理制度，提升企业年金信息安全管理能力，需要建立全流程的监管体系，对信息流动的整个过程进行实时监控，了解各环节的安全隐患、风险等级，随时掌握信息的传递及保密情况；需要所涉各主体的共同参与和配合，明确流程中各环节的主要责任，负责重点把控各业务环节的安全保障，同时共同配合建立和执行统一的安全管理政策和措施。

2.2建设PDCA信息安全管理体系

企业年金管理机构在大数据环境下.可以采用PDCA循环建立信息安全管理体系，提升信息安全管理能力。

PDCA循环也称为戴明环，最早应用于质量管理领域，将能力提升的1个周期分为计划（Plan）、执行（Do）、检查（Check）、改进（Action）4个阶段，并随时间推移而迭代循环持续改进，如图3所示：

应用PDCA循环，提升企业年金信息安全管理体系的4个阶段包括：

2.2.1计划阶段

企业年金信息安全管理体系建设计划阶段的重点在于提供组织保障，建设信息安预案。一方面做好信息安全管理的准备工作，在年金管理机构和委托人中组建安全管理组织，分配信息安全管理角色，建立大数据安全管理体系框架，结合年金管理业务流程制定信息安全管理过程策略，明确各主体信息安全管理范围和权限，成立信息安全委员会，保障管理顺利进行；另一方面，对年金管理全业务流程数据信息进行梳理，分析各业务节点可能出现的安全隐患，减少信息安全问题发生，一旦发生问题，能迅速采取措施减少损失，并能够明确追溯问题成因和责任归属。

2.2.2实施阶段

企业年金信息安全管理进入实施阶段，应首先明确信息安全管理目标，进行风险分析，调查分析当前信息系统中安全状况与要求的差距，从关键节点和关键问题入收，发现年金管理系统中存在的安全漏洞和可能的风险，确认与之相关的责任机构和责任人，制定有针对性的改进方案。其次，要加强员工信息安全培训，在运用技术加强网络基础设施的建设，提升系统信息安全的同时，还需要强化内部员工的保密义务。客户的企业或个人信息及其数据挖掘的信息对于年金管理机构来说属于数据资产和商业秘密，必须在内部通过建立规章制度和员工教育，明确员工的职业规范、保密义务和奖惩规则，规范员工职业行为，提升员工职业素养。再次，与委托人企业配合，加强客户安全教育。客户对自身信息的重视程度在很大程度上影响其信息安全，委托人企业要配合受托人承担起职工信息安全教育的责任，加强信息安全防范意识。在向企业年金管理平台发送个人信息，以及使用查询等功能时保护信息的措施，在安全环境下登录，设置较复杂密码，定期清除网络痕迹等。

2.2.3检查阶段

企业年金信息安全管理体系的检查阶段要以日常安全管理检查为主，同时建立自动报警机制。前者作为企业年金管理中信息安全问题最主要的保障措施，通过定期检查、内部审计等日常检查工作查看信息安全管理措施是否有效、是否符合管理标准，并记录检查结果，作为改进阶段的依据。后者则是应对突发状况的有力工具，在大数据环境下，企业年金信息系统持续性地与外界进行规模庞大的信息交互，这一过程涉及的参与主体多、影响因素广泛，即便企业有规范的业务流程和监察制度，仍难以预测和抵御一些突发性的信息安全问题，自动报警机制具备灵敏度高、实时监控的特点，便于应对突发问题，及时采取应对措施。

2.2.4改进阶段

建设企业年金信息安全管理体系，改进阶段要针对检查阶段的审查记录，有针对性的弥补信息安全管理中的缺失，修改和完善。已发现并有效解决的问题，要总结经验继续优化；未能解决的问题，分析原因，留待下一循环继续改进。针对本循环中出现的突发性信息安全问题，经自动报警机制识别出后，要迅速分析问题性质和紧急程度，启用计划阶段建立的信息安全预案，及时采取措施，防止问题扩大化。

综上所述，在大数据环境下企业年金管理机构建设PDCA信息安全管理体系的过程是循环上升的过程，如图3所示，每一个循环周期都会使信息安全管理的水平得到一次提升。不断设立新的管理目标，完成管理提升的循环，全面维护企业年金管理信息的安全，是企业年金信息安全管理体系建设的目标，也是年金管理机构的重要职责。

2.3健全信息安全管理法律法规

客户接受企业年金服务过程中的信息安全权利不仅要靠管理机构的技术和人员培训，必须要建立完善的责任制度才能得到最大程度的保障。目前现行的监管办法中对于企业年金管理机构违反规定侵害客户信息安全做了一定程度的责任设置，但缺少具有实践性的民事责任的制度设计，客户因为信息安全问题造成的损失很难获得补偿。要通过完善相关立法的行业规则明确管理机构违反合同义务时应承担的责任，增加其违法违规的成本，减少信息安全问题事件的发生，从而保护客户的信息不受侵害。

3结语

企业年金的业务特征决定了参与其中的主体较多，主体间必须有流畅信息沟通，业务开展过程中涉及的客户隐私信息和业务数据数量都非常巨大，一旦发生信息安全问题其破坏性也是非常严重的。大数据环境下企业年金管理业务必然以网络作为载体，涉及因素更多，大大增加了信息泄露的安全隐患。不仅是企业年金，正在开展中的职业年金也存在着类似的信息安全问题，因此，有必要在理论和实践中继续探索如何提升年金管理过程中的信息安全。