随着数字经济蓬勃发展与金融科技深度融合,数据已成为保险行业核心战略资产,客户隐私保护、业务数据安全、信息合规管控,直接关系金融消费者切身权益,也是保险公司稳健经营、合规发展的根本基石。为严格贯彻落实国家金融监督管理总局及属地监管局关于强化金融机构数据安全治理、提升安全管理能力的工作部署要求,鼎诚人寿全面启动数据安全管理能力提升专项行动,从组织架构、制度体系、技术防护、责任落实、全员管控等多维度系统发力,全方位、全流程夯实数据安全管理根基,以高标准合规治理守护客户个人信息安全与企业核心数据资产。
近年来,国家持续加码金融数据安全监管力度,2024 年 12 月《银行保险机构数据安全管理办法》正式落地实施,明确将数据安全风险全面纳入金融机构整体风险管理体系。2025 年 11 月以来,国家金融监督管理总局北京监管局、北京市银行业协会先后下发专项工作部署及培训通知,全面推进数据安全管理能力提升专项行动,并确立 “发现一批、整改一批、通报一批、处罚一批” 的从严监管原则,释放出对金融数据安全违规行为零容忍的鲜明态度。面对日趋严格的监管形势与行业数据安全治理要求,鼎诚人寿高度重视、快速响应、周密部署,第一时间全面启动数据安全专项提升行动,自上而下统筹协调、各条线协同联动,确保各项监管要求落地落细、见底见效。
在组织架构搭建方面,鼎诚人寿建立权责清晰、层级分明的数据安全治理体系。构建由董事会授权的信息化工作委员会统筹统领,数据安全管理工作小组总体协调,牵头管理部门具体组织实施,总公司各职能部门、全国各分支机构分级履职的常态化管理架构。结合本次专项行动推进需求,公司进一步优化升级组织保障体系,组建形成信息化工作委员会、数据安全管理工作小组、数据安全管理技术小组、数据安全治理项目组协同联动的三级工作机制,做到责任到人、分工明确、层层压实、闭环推进,为数据安全专项治理工作提供坚实有力的组织支撑。
本次数据安全能力提升专项行动覆盖管理、技术两大核心维度,聚焦制度规范完善、组织架构优化、数据分类分级细化、个人信息权益保护、安全技术升级改造、风险监测预警体系完善等重点环节。公司专门制定《数据安全管理能力提升工作方案》,由专项工作小组与治理项目组牵头统筹整体推进节奏。严格对照第三方合作机构、系统数据分类分级、日常数据安全管理等多套自查标准表单,开展全覆盖、无死角自查摸排。针对自查发现的薄弱环节与风险隐患,逐条梳理、建立台账、制定专项整改计划,明确整改时限、责任部门和验收标准,确保 2026 年一季度完成重点问题清零整改。同时同步配套制度宣贯、专题培训、技术加固、流程优化等举措,系统性补齐数据安全管理短板,全面提升整体治理水平。
公司牢固树立 “谁管理业务、谁管理业务数据、谁管理数据安全” 的核心治理原则,打破数据安全仅为技术部门职责的固有认知,明确数据安全是全员共同参与、全员共同负责的基础性、长期性工作。从管理层到基层一线员工,层层传导安全责任,全面强化主体责任意识,推动数据安全管理要求深度嵌入业务办理、系统运营、客户服务全流程,让合规用数、安全管数、规范存数的理念融入日常工作每一个环节。数据安全治理项目组在工作小组指导下,统筹协调总公司各部门及分支机构,健全组织协调、资源保障、宣传培训、审核复核等配套机制,定期组织全员数据安全宣教培训,压实各单位自查整改与日常管理职责,形成上下贯通、横向联动的协同治理格局。
制度建设是数据安全治理的根本保障。鼎诚人寿持续健全覆盖全业务、全层级、全场景的数据安全制度规范体系,先后出台《数据安全管理办法》《第三方安全管理办法》《数据分类分级管理指引》等一系列管理制度,构建起系统完备、衔接配套、务实管用的制度框架。在职责划分上,明确总公司各业务部门为本条线业务数据安全归口管理主体,全面落实安全防护措施,常态化开展风险评估与动态监测;各分支机构对属地存储数据、合作对接数据、系统查询使用数据承担属地安全管理责任。同时重点规范第三方数据合作、跨机构数据流转、数据出境等高风险场景管控标准,实现数据全生命周期制度化、规范化管理。
技术层面,公司坚持主动防护与被动管控有机结合,打造全方位、立体化、多层次的数据安全技术防护屏障。由数据安全管理技术小组牵头,统筹搭建一体化网络与数据安全技术防护体系,持续迭代升级安全防护能力。在主动防护上,常态化开展系统漏洞扫描、渗透测试,及时排查并修复信息系统安全隐患;部署数据库脱敏平台,严格落实测试环境与生产数据库动态脱敏策略;通过桌面安全管控、上网行为管理等技术手段,从严管控终端数据外发通道;定期组织钓鱼邮件攻防演练、信息安全与数据安全专项培训,持续提升全员风险防范意识;将数据安全前置融入系统研发全流程,实现安全规划与项目建设同步设计、同步落地、同步运维。
在被动应急防护层面,公司建立健全数据安全风险监测、事件研判、应急处置一体化运营机制。全面强化网络边界安全防护,搭建覆盖互联网边界、数据中心内部边界、关键业务节点及主机环境的全网安全监控体系,实行 7×24 小时不间断实时监测预警。同步完善数据安全事件应急预案,细化分级分类处置流程、责任分工和响应机制,定期组织实战化应急演练,确保一旦发生安全事件能够快速响应、科学研判、有序处置、稳妥善后,最大限度降低安全风险影响。
针对客户身份证、联系方式、健康信息、投保资料等敏感核心数据,鼎诚人寿实施最严格的分级分类管控与访问权限管理,构建全流程闭环保护机制。将数据安全标准深度嵌入软件开发和系统运维规范,在业务应用系统中内置安全防护模块。完善统一账号管理体系,明确账号注册、权限分配、日常使用、离岗注销等全流程管理要求,建立集中化账号权限管控机制,从技术和管理双重维度严防敏感数据越权访问、违规泄露等风险。
同时,公司建立常态化、标准化的信息安全风险评估与内部审计机制,筑牢风险内控防线。严格按照内部信息化管理制度要求,由公司审计部联合第三方专业审计机构,定期开展信息科技与数据安全专项审计,对审计发现问题实行台账化管理、全过程跟踪、销号式整改。严格对标监管数据安全管理相关规定,常态化开展数据安全综合评估,涵盖治理体系建设、技术防护落地、风险监测处置、安全事件复盘等重点内容。法律合规及风险管理部门将数据安全全面纳入公司整体风险管理体系,实现合规、风控、安全一体化统筹管控。
在第三方合作管理领域,公司健全全流程数据安全管控体系,严把合作准入、过程管控、终止退出三道关口。在采购准入环节,要求所有供应商签订信息安全与隐私保护承诺书;对存在数据交互、信息共享的合作项目,在合作协议中专门增设数据安全专项条款,明晰双方安全责任边界与保密义务。项目合作启动前,严格开展合作机构数据安全资质、管理能力、技术防护水平专项评估;合作实施期间,严格管控系统权限开放、数据调取使用流程,依据第三方安全管理办法落实常态化监督检查;合作终止后,严格按照合同约定完成合作数据归集、删除与销毁,杜绝数据遗留泄露隐患。
人才培养与意识建设是长效治理的关键支撑。鼎诚人寿将数据安全、网络安全、信息安全培训纳入员工常态化教育体系,定期面向全体员工开展普法宣教、风险案例解析、合规操作规范等专题培训。针对信息技术研发、运维、风控等专业岗位,定制开展研发安全、运维安全、数据安全技术规范等专项赋能培训,持续提升专业人员安全防护和应急处置能力。同时建立健全违规问责考核机制,对违反数据安全管理规章制度、造成安全隐患或不良影响的部门及个人,依规实施分级问责处理,以刚性约束筑牢全员安全思想防线。
立足长远发展,鼎诚人寿坚持以长效化、常态化、精细化思路推进数据安全治理建设,严格恪守《网络数据安全管理条例》《银行保险机构数据安全管理办法》等监管法规要求,稳步推进专项行动各阶段任务落地收官。公司深刻认识到,数据安全治理绝非阶段性专项工作,而是必须常抓不懈、久久为功的系统性工程。在完成自查整改、补齐现存短板基础上,公司将持续健全数据安全治理长效机制,推动安全管理模式由被动整改向主动防控、由单点防护向体系治理、由阶段性整治向常态化运维转变。
未来,鼎诚人寿将始终坚守合规经营底线,秉持高标准、严要求的数据安全治理理念,持续完善组织、制度、技术、人员、考核五位一体的安全管理体系,推动数据安全治理与业务高质量发展深度融合。切实守护好广大客户个人隐私信息与核心数据资产,保障各项业务平稳健康合规运营,以扎实的数据安全治理成效履行金融机构合规责任与社会担当,为行业营造安全、规范、清朗的数字金融生态贡献坚实力量。
版权声明
本文来自投稿,不代表蓝鲸日报立场,如若转载,请注明出处:www.lanjing.org
