中国太平洋保险(集团)股份有限公司(以下简称“太保”)成立于90年代,是国内领先的综合性保险集团,为约9000万客户提供人寿、财产、健康、养老投资等全方位风险保障解决方案、投资理财和资产管理服务。随着保险信息化的深入发展,保险业经营管理对信息技术高度依赖,信息安全面临新的考验。太保集团信息安全与内控管理部副总经理李丽红负责集团整体的信息安全保障工作,她建立了太平洋保险质量管理体系,完善了信息安全管理体系,并运用大数据、云计算等技术手段与保险业务充分融合,将IT落地实践、勇于创新,实现了太保集团从传统产业向互联网+的华丽转身!
大胆转型,IT为坚强后盾
太保集团于2009年确定战略转型目标,以提升客户服务体验、增进客户需求为宗旨,紧紧拥抱互联网技术,发展IT对业务的支撑能力,取得了突出的成绩。
互联网+保险,创新业务流程
“神行太保”寿险业务销售系统的应用,彻底颠覆了业务流程。“神行太保”系统从“客户体验”出发,以客户需求为导向,以关注客户需求、改善客户界面、提升客户体验为目标,依托产品、用户、渠道、服务多维度研发架构,将互联网新技术与保险销售服务场景深度融合,运用大数据、云计算、移动终端等先进的技术与理念,设计打造了集移动销售、移动理赔、移动服务、移动管理为一体的保险App生态群落和场景应用的展业运营平台,。目前“神行太保”已经可以加载支持的专业化应用移动APP超过50个,实现移动销售、移动服务、移动理赔、移动管理功能全覆盖截止到目前为止,寿险95%的业务均是在此平台交易完成,推动了保险业务销售的移动化。它彻底改变了营销员通过用户填写投保单、柜面缴费、投保需求确定、出单中心打印保单、保单邮寄给客户的流程;客户可直接在平台上投保、做核保、通过审核、在线缴费并完成出单,大大提高了投保周期和营运效率。
建立太保私有云
太保集团通过私有云的建立,一方面将内部大量的物理设备虚拟化,提高管理和利用效率,更加主要的是通过建立太保私有云,可以将分布在各地的分公司原来自行管理的物理设备和开发的应用进行云化部署,提升整体的安全管控能力,节约运行成本;同时将非保险核心应用部署在私有云上,提升整体的效能。太保按照监管要求建立了“两地双活数据中心”,分别坐落于上海、成都两地,并计划于2017年在上海建设同城数据中心,实现“两地三中心”目标。
多维防护,构筑企业安全堡垒
李丽红致力于完善信息安全管理体系,提出“建立信息安全管理体系抵御外部攻击、建立内控管理体系防止内部违规操作、建立风险与应急管理体系,提升预警和应急处置能力”三位一体的金融行业信息安全管理思路,并对信息科技风险监管评价体系 、ISO27001两大监管和国际标准,实现内控不留死角、安全风险可控、支持业务转型创新的目标。具体包括:
7*24小时安全事件响应处置机制,实现高危事件自动化拦截。自机制实施以来成功应对来自全世界各地的攻击和病毒入侵,截至十一月底有效防御病毒892.6万次、拦截高危攻击32.6万次、拦截垃圾邮件437.7万封,切实保障太保应用系统的运行安全,为广大用户提供不间断的服务体验。
“鹰眼”大数据信息安全管控平台,内外数据防护壁垒。内部:集团采用先进的数字指纹技术,员工无法向外部拷贝、发送客户敏感信息;外部:该系统充分利用信息系统基础设施日常运行中产生的海量日志数据,通过实时采集、规则匹配、模型分析、可视化展现等大数据处理手段,构建信息安全大数据分析管控系统,提升对安全攻击、安全渗透、病毒传播、违规操作等各类信息安全事件的预警、发现和快速处置能力, 实现“风险可知、事件可控、态势可见、效率提升”的信息安全管控目标。
据李丽红介绍,“鹰眼”大数据信息安全管控平台是“保险行业风险及威胁的闭环管理系统”, 荣获了“上海市第二届智慧城市信息安全保障优秀案例”奖、Future-S中国IT治理和管理2015年度践行组织奖。
IT内控体系切断操作风险。由于集团IT规模非常庞大,操作风险也随之加大,从2015年开始集团加强管控,梳理了IT内控体系,横向覆盖5大安全控制领域、纵向覆盖20个IT管理流程(如需求、开发、测试、发布、运行、第三方管理等)。通过常规检查、飞行检查、重点领域专项检查,达到确保各项IT制度要求落地到位、切实执行,及时发现流程中的漏洞并不断优化。通过系统管控留有痕迹,减少人为干预,并和鹰眼系统相结合,使得总体操作风险可控化。
创新开展应急演练,提高风险应急能力。通过使用短信群发、线上签到、微信签到等新技术,实现了几百操作人员团队的任务分配与自动化流转控制,可方便查询任务完成进度,提升了应急处置效率。同时开展实战化、无预警演练,优化各类故障场景的应急SOP,提升了应急响应能力。
覆盖应用开发全生命周期安全检测,确保数据安全。建立覆盖应用开发全生命周期的应用安全管理机制,覆盖需求、开发、测试、投产、生产等应用开发各环节的安全检测和漏洞扫描,在数据安全方面,太保推广dlP数据防泄漏应用,切实保障客户关键和敏感数据的安全。据了解,数据防泄漏系统荣获了“上海市第一届智慧城市信息安全保障优秀案例”奖。
重视团队人员技能培训,提升整体实力。李丽红提到,“太保集团非常重视广大员工的安全意识培训,每周结合国内外行业热点,制作《信息安全直通车》,普及信息安全知识,受到了企业员工的欢迎以及上海市金融工委领导的好评。太保信息安全运维和管理团队在2014和2015年连续两年荣获ISG信息安全技能竞赛一等奖。”
以身作则,跨过落地困难
李丽红向e行网记者表示,信息安全与业务效率之间通常是矛盾体,需要做很多平衡工作。她说:“举个例子,业务部门从客户体验角度出发,希望业务操作简便至极,在安全问题方面考虑较少。为此太保集团信息技术中心建立机制覆盖软件开发生命周期,定期扫描、保证客户信息安全。在此过程中,我们采取以身作则的态度,从主动检查本部门出发,同时采取保持和其他部门实时沟通、增进理解、规避风险等措施,有效跨越了安全措施落地困难的障碍。”
战略清晰,互联网+两步走
李丽红表示互联网+转型要分两步走:第一步是互联网+保险,将已有传统保险业务利用互联网工具实现,向客户提供更便捷的服务;第二步是更深层次的保险+互联网,利用互联网思维开发新的业务,产品能够真实满足不同层次客户的需求,刻画客户脸谱,进行大数据分析,来满足个性化需求。
如今,IT技术迅猛发展改变了许多商业模式,从过去IT部门承接业务需求并实现需求的IT支持模式,转变到到近5年来IT逐渐与业务融合、IT督促业务变革以适应企业发展需要,IT与业务的联系愈加紧密、相互促进。
未来,新科技将对商业变革产生巨大影响,随着人们对互联网的依赖程度越来越高,IT促进业务发展,催生互联网新业务诞生。这是时代发展的必经之路,太保将紧跟时代浪潮,夯实安全堡垒,大胆求实创新,迎来一个新的纪元!