数据安全与隐私保护

     为进一步建立健全公司网络安全和信息化治理结构,公司成立了网络安全和信息化领导小组,组长由集团总裁担任,副组长由集团科技条线分管领导担任。

积极开展数据安全培训

        公司每年组织网络安全、数据安全各类安全培训,培训内容包括数据安全、数据管理、隐私保护、数据安全分类分级等,培训范围覆盖所有员工。2023年,在全司内开展2次覆盖全员的网络安全意识培训,累计学习人次达 86.3万,覆盖全司测试人数超14万人次;在专业技能领域,不仅组织应用开发安全持证培训、防范社工培训、信息安全专业技能培训等技能培训,还开展了法律监管政策、个人信息保护、网络安全事件应急处理等热点的网络安全技术交流分享会,从而共力推动网络安全工作,助推科技赋能业务高效发展。邀请内外部专家交流分享网络安全技术,并每月向全体员工刊发信息安全意识宣导电子专刊,提升全体员工网络安全防护意识和技能水平。

        公司每年举办“网络安全宣传周”活动,提升社会公众数据安全意识。2022年中国太保网络安全宣传周活动曾荣获上海市“2022年度优秀活动案例”奖;2023年公司网络安全宣传周活动以“网络安全为大家,网络安全靠大家——数智赋能,安全相伴”为主题,通过专项课程、知识竞赛、微视频评选、典型案例申报等线上活动,以及主题讲座、案例体验、趣味活动等线下沉浸体验,传统媒介与新平台共同发力,注重针对性、娱乐性和互动感,普及数字中国建设、个人敏感信息保护、人工智能安全等安全知识。

完善制度与流程

       制定适用于集团及各子公司的《中国太平洋保险(集团)股份有限公司数据安全管理暂行办法》(以下简称“《办法》”),明确数据的收集、存储、处理、传输、使用、销毁各个环节的安全管理要求。

       在数据采集方面,采集数据必须合法、正当,不得收集与其提供的产品和服务无关的个人信息,在采集前应向个人信息主体明确告知所收集和使用个人信息的目的、方式和范围,并获得个人信息主体的明示同意。未经被收集者同意不得向第三方机构提供个人信息。在数据存储方面,存储个人信息不应超出收集使用规则中的存储期限,用户注销账号后应及时删除其个人信息。在数据处理方面,《办法》要求在收到有关本人的个人信息查询、修改、删除请求时,应当在合理时间和代价范围内予以查询、修改、删除。在公司发布市场的客户端软件中,均提供用户注销的功能,并在产品的隐私协议中明确向用户说明个人数据访问、修改、删除的方法和路径。此外,公司《数据安全管理暂行办法》进行了明确要求,除履行法律法规等监管要求如国家安全、国防安全、公共安全、公共卫生等法定义务,未经被收集者同意不得向第三方提供个人数据。如因交易需要向第三方提供个人信息,必须遵守“最小必要”原则,并征得个人信息主体同意,并采取措施包括不限于数据加密、匿名化处理、脱敏等。

强化预防与应对

       为预防和减少网络安全事件造成的损失和危害,制定并发布了《数据防泄漏管理办法》《网络安全事件应急预案》,并明确网络安全事件应急子预案清单(SOP)。其中针对信息泄露事件,专门制定了《数据泄露事件应急处置手册》,其中对数据泄露事件的事件防范、事后应对和分级报告等方面进行了具体规定。公司通过管理和技术手段进行数据泄露事件的事前防范,通过开展数据安全相关应急演练,来验证事后应对和处置措施的有效性。

       在预防预警方面,公司建立了网络安全事件预警监测机制。根据网络安全事件等级及威胁的严重性和紧急程度,将网络安全事件预警等级进行分级,并制定相应的预警发布和预警响应流程。在应急响应方面,公司相关部门及机构应及时向监管进行汇报,并通过封锁、缓解、追踪、消除和恢复等手段进行网络安全事件应急处置。在后期处置方面,应急协调办公室应组织相关部门对网络安全事件的起因、性质、影响、损失、责任和经验教训等进行调查和评估。相关方应根据调查和评估意见,认真落实整改工作。

供应商数据安全管理

       公司发布《中国太平洋保险(集团)股份有限公司信息科技外包管理办法》,对重要外包的备选服务提供商组织开展尽职调查。尽职调查应包括但不限于:服务提供商的内部控制和管理能力,服务提供商的网络和信息安全保障能力等。对于符合重要外包条件的非驻场外包供应商,重点调查服务提供商是否有管理制度和技术措施保障本公司数据的完整性和保密性等。公司与供应商签订的合同中包含《安全保密协议》,凡是涉及收集用户信息的网络产品或服务,供应商必须遵守相关法律行政法规关于个人信息保护的规定,并向集团征求书面同意。

       此外,公司要求供应商填写《中国太保科技外包信息安全承诺书》,承诺严格遵守中国太保信息安全策略、制度和各项信息安全管理要求,为中国太保提供安全、合规的产品和服务。制定《科技外包信息安全评估表》对重要供应商开展评估,内容包括供应商的数据安全政策建立和执行情况,安全体系认证情况等。

定期审核与认证

       公司每年聘请第三方外部专业机构开展ISO27001(信息安全管理体系)和ISO29151(个人身份信息保护管理体系)年度认证审核。公司自2010年起取得ISO27001信息安全管理体系认证,自2018年起取得ISO29151个人身份信息保护实践指南认证。两项认证范围覆盖中国太保集团总部及所有子公司,通过认证标志着公司信息安全管理和个人信息保护管理符合国际标准。

加强数据安全产品开发

       公司将数据安全与隐私保护要求整合到《中国太平洋保险(集团)股份有限公司应用系统信息安全管理办法》中,在产品开发加入数据安全的具体要求,并在项目立项、需求设计分析、测试等各阶段进行安全审核,加强产品端的数据安全。公司每年对发布市场的客户端软件进行外部检测,对其产品的数据安全和隐私保护情况进行检查和认证,确保满足监管要求。

       2023年,中国太保携手上海市信息网络安全管理协会、头部安全厂商等生态合作伙伴共同发起创立“网络安全保险创新联盟”,进一步聚合产业力量,共同应对日趋严峻的网络安全挑战,在网络安全领域深度布局。在实际应用层面,太保科技搭建“网络安全险风控护航平台”,深化产服融合,探索从“产品+保险”到“保险+服务”的网络安全服务模式转变,为客户提供从预防到应对、从技术到理赔的全方位网络安全保障,共同打造数字安全防线。