等保2.0测评，是保险行业数字化转型中的必修课- 大数跨境

首页

等保2.0测评，是保险行业数字化转型中的必修课

众安科技

2020-10-22

导读：众安科技一站式等保2.0合规解决方案，助力保险上下游企业快速过保

上一期信息安全专题，我们从信息安全的宏观角度，为大家全面解析了企业安全合规的挑战与方法。

之后，我们将会从信息安全的每一个重要环节进行纵向的深度解析，本期【深入题浅出说】将从等保2.0合规解决方案开始说起。

一

等保2.0测评，是保险行业数字化转型中的必修课

金融科技正在席卷了整个金融行业，保险业也不例外，新兴技术如大数据、云计算、人工智能、物联网等正在重塑保险价值链，并赋能和定义未来保险；保险界正在进行数字化转型与发展。

等保2.0测评的最高国家政策是网络安全法，根据《中华人民共和国网络安全法》第五十九条，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正、给与警告。

因此，互联网企业不履行法定网络安全保护义务的，有较大风险触犯国家法律。

2020年9月28日，中国银保监会发布《互联网保险业务监管办法（征求意见稿）》对开展互联网保险业务的保险机构及其自营网络平台提出了以下要求：

*对于具有保险销售或投保功能的自营网络平台，以及支持该自营网络平台运营的信息管理系统和核心业务系统需要通过等保三级认证，且定期开展等级保护测评；

*对于不具有保险销售和投保功能的自营网络平台，以及支持该自营网络平台运营的信息管理系统和核心业务系统需要通过等保二级认证；

网络安全和信息化已是国家的重大战略，在整个保险行业都在数字化转型的大潮中，保险企业和上下游企业都要重视信息安全建设，都要认真做好等保2.0测评这门必修课。

二

什么是等保2.0，等保2.0测评做什么？

等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

根据等保2.0“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

等保2.0的相关标准对企业的整体安全体系建设提出了详细的要求，主要如下图所示：

企业在开展等保2.0测评的流程如下：

①　定级

初步确定定级对象，组织专家评审，主管部门表审核，公安机关备案审核；

②　备案

持定级报告和备案表到当地公安机关监管部门进行备案；

③　建设整改

参照当前信息系统等保等级要求和标准，对信息系统进行整改加固，并建立安全管理体系制度；

④　等级测评

委托具备等保测评资质的测评机构对信息系统进行等级测评，并形成正式的测评报告；

⑤　监督检查

向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。

具体流程图如下：

三

保险行业等保2.0合规建设的特点及难点

业务系统繁多，功能复杂，业务系统安全整改成本投入高

保险经营具有分散性和广泛性，且业务链路长，不同的服务阶段都可能有不同的分支机构，上下游企业提供服务，导致保险经营过程中的业务系统繁多，且功能复杂。更多的系统，更复杂的功能就导致更多的安全风险，需要让这些系统满足等保2.0的安全标准，业务系统整改投入巨大。

涉及大量隐私数据，对数据安全的要求比较严格

保险通常都是为民生利益提供安全保障服务，涉及到大量隐私数据，且这些数据的传输链路比较长，如何有效保障这些隐私数据的安全，满足等保2.0的要求也是不小的挑战。

下游企业规模小，IT投入有限

随着保险行业的数字化转型，保险中介企业也逐渐从线下转到线上来经营保险业务。很多保险中介企业规模都比较小，然而为了满足等保2.0要求，需要采购多种安全设备及产品，且还需对业务系统进行复杂的安全合规改造，其IT投入价格不菲，导致一些小型保险中介企业难以满足等保2.0的安全要求。

四

众安科技一站式等保2.0合规解决方案，

助力保险上下游企业快速过保

为了满足等保2.0中的安全管理要求及安全技术要求，通常需要采购很多安全设设备及产品，且还需对业务系统进行复杂的安全合规改造才能满足等保安全合规要求。对此众安科技提供一体化等保解决方案，一套系统即可覆盖安全通信网络，安全区域边界，安全计算环境，强制访问控制，数据安全审计，安全管理中心总计六个等保安全防护重点。