王一飞：年金管理的信息安全思考

　　信息安全是与信息化相生相伴的产物，现代社会里任何行业、任何用户都离不开它，企业年金的管理也不例外。IT是年金运营管理的基础，信息安全也是年金管理风险控制的基础性工作——如果数据安全没有保障、系统不能连续运转，严重时这些问题会导致大门洞开或者服务中断，那么其他工作就都谈不上了。

　　信息安全是近年全社会关注的热点，但针对企业年金这一新兴行业信息安全的专题讨论却很少见，笔者希望通过年金管理信息安全特点、方法、实施的讨论，对这一年金管理中的基础工作进行梳理分析。

　　特点探寻

　　有的读者会问，信息安全不是一种很通用的技术么，为什么要针对年金行业专题研究呢？BS7799已经上升为ISO标准，拿来直接遵照不就可以了么？其实不然，世界上没有两片相同的树叶，信息安全在不同领域应用也会各有特点，不进行个性化研究，不可能达到最佳的管控效果。

　　且不说电信、电力等外行业，即使在金融行业内的安全管理也会因行业细分产生差异。比如，银行业的信息安全特色工作是确保网上安全交易，线上交易中的安全漏洞会直接带来客户资产的损失；证券业的信息安全特色工作是确保网上服务连续性，客户在同一时段上互联网集中操作时，不能出现拒绝服务现象；保险业的信息安全特色工作是确保客户资料的保密，保险公司系统内的客户资料是非常真实和全面的，丢失的危害会很大。以上三大金融行业还可以继续细分，继续挖掘特点。

　　所以，把脉企业年金信息安全的特点非常重要，笔者试着总结了如下三点：（1）对客户资料保密性要求很高。企业年金管理的是企业员工的补充养老金，自然具有隐私性。（2）不同资格管理人安全压力不同。四种资格的年金机构，有的同时面对企业客户和个人客户，有的只面对企业客户，有的只面对企业年金管理人，安全保障难度不同（3）数据交互安全与短板效应。因为同一委托人的资料，可能要涉及多个资格的管理人，其间数据交互的安全保障就值得关注，同时，客户资料的保障程度就低不就高——任一管理人出现疏失，都会降低整体保障程度。

　　需要注意的是，在年金管理信息安全中关注个性化，并非一定是要多花钱、多建设，特点的挖掘同样能让我们知道哪方面安全建设可以缓行。信息安全建设中，价格最贵、功能最全面的安全设备，并不一定是最适合你的设备。

　　方法探究

　　选择信息安全的方法，需要结合企业年金机构自身的特点。数十家年金经营机构来自银行、证券、保险三大行业，有着金融行业一向重视安全的良好传统和扎实基础，同时三个行业的监管部门下发过各自的信息安全管理规定，加之不同企业发展程度的不同，又让各个企业间存在信息安全管理的差异。所以，企业年金信息安全的最佳方略是充分发挥金融行业现有优势，遵守各机构所属监管机构的规定规范，同时稳步实施企业级信息安全策略。