浅谈互联网保险所面临的信息安全风险及防范对策中国保险信息技术管理责任有限公司上海分公司盛超摘要：随着互联网金融的持续火爆，让传统的金融机构感受到了前所未有的机遇和挑战。

而今，这股旋风已经刮到了保险行业，应运而生的互联网保险或将改变保险业原有的营销模式。

互联网保险与传统保险的经营方式相比，有着得天独厚的网络技术优势，然而保险行业在享受现代网络技术风光的同时，也面临着方方面面的风险，而首当其冲的就是信息安全问题。

系统的安全、业务信息的安全、信息传输的安全等等，这些安全风险无不影响着互联网保险的健康和可持续性的发展。

因此，我们在推进互联网保险的同时，必须重视随之而来的各类信息安全的问题，这些问题也必须通过合理的风险管理来进行有效管控，才能保障互联网保险有一个更加广阔的发展空间。

关键词：互联网保险信息安全风险1.相关概念1.1 什么是互联网保险互联网是信息时代高度发展的产物，它的应用已经涉及到社会的各个领域，世界上几乎所有的行业都看到了互联网发展中所蕴藏的无限商机，都把目光投向了互联网和电子商务。

保险作为一个需要多种专业部门协同工作、通信时效要求又比较高的行业，更应在现有的基础上加强互联网建设。

而当电子商务应用于保险行业，便赋予了保险新的形式，从而互联网保险也就应运而生了。

从狭义上讲，互联网保险是指保险企业通过互联网开展电子商务，如通过互联网买卖保险产品和提供服务；从广义上讲，互联网保险还包括保险企业的内部、保险企业之间、保险企业与非保险企业之间以及与保监会、税务部门等政府相关机构之间的信息交流和活动。

因此，互联网保险是指保险企业采用互联网来开展一切活动的经营方式，它包括在保户、政府及其他参与方式之间通过电子工具来共享结构化和非结构化的信息，并完成商务活动、管理活动和消费活动。

互联网保险的最终目标是实现电子交易，即通过互联网实现保险信息咨询、保险计划书设计、投保、缴费、核保、承保、保单信息查询、保权变更、续期缴费、理赔和给付等保险全过程的网络化。

互联网保险无论从概念、市场还是到经营范围，都有着广阔的空间以待发展。

1.2 什么是信息安全信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全主要包括以下五方面的内容，即信息的保密性、完整性、可用性、不可否认性及安全认证。

信息安全的根本目的就是使内部信息不受外部威胁，因此需要在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的业务。

2.互联网保险的优势与传统的保险企业经营方式相比，利用互联网开展保险业务具有四大优势。

2.1 扩大企业知名度，提高自身竞争力随着经济全球化的发展，品牌已经成为一个企业实力的象征，也成为衡量企业产品品质、参与国际竞争的重要标志。

而保险企业可以通过互联网设立主页、介绍保险知识、提供咨询、推销保险产品等方式来实施自身的品牌战略，这即有利于企业结构调整和产业升级，也有利于提高保险企业的管理水平，提升企业的核心竞争力，树立良好的企业形象。

2.2 简化交易流程，提高效率，降低成本互联网保险是部署于互联网的信息系统，在互联网上开展保险业务缩短了销售渠道，保险企业也可以利用互联网快速布局全国市场，大大降低费用，从而能获得更高的利润。

通过互联网保险业务的开展，投保人只要输入一些简单的个人情况，保险公司就可以接收到这些信息，并做出相应的反应，从而节省双方当事人之间进行联系以及商谈的大量时间，提高效率，同时降低了公司的经营成本，这种电子化的发展大大简化了商品交易的手续。

申请者除了不能通过互联网在投保单上签名盖章外，其他有关事宜均可在互联网上完成，甚至保费也可以通过互联网来缴纳。

2.3 方便快捷，不受时空限制应用互联网，保险企业能够实现全区域、全天候、即时、互动的服务，跨越了时间和空间的限制。

保险消费者可以在一天24小时内随时方便地上网比较保险产品，并向保险公司直接投保。

这对于诸如车险、家庭财产险和意外险等相对简单的险种尤为适用。

2.4 创造和提供更加高质量的服务现代客户需要的是优质的个性化服务，互联网能够加快信息传递速度的优势，可使保险服务质量得以大大提升。

很多传统保险经营模式下不能获得或不易获得服务，在互联网上变得轻而易举。

而且互联网保险留给消费者更多自由考虑的空间，从而避免冲动购物，消费者可以在更多地比较后选择适合自己的产品和保险代理，而无须不厌其烦地去和每家保险公司、保险代理打交道；在投保后轻松获得在线保单变更、报案、查询理赔状况、保单验真、续保、管理保单的服务，从而避免了繁琐的手续、舟车劳顿、长时间等待等不利因素。

而对于保险企业而言，可以充分利用互联网，深入研究保险消费者的消费倾向和保险需求，设计出符合其消费习惯的保险产品，将潜在的保险需求转换为真实的保险消费。

3.互联网保险面临的信息安全风险互联网保险具有很多优势，有利于拓宽销售渠道，深入挖掘保险资源，降低保险经营成本，具有十分广阔的发展前景，是推动保险业又好又快发展的重要助力。

但是，由于互联网保险直接部署在互联网上，具有很强的开放性，使得互联网保险面临着很多信息安全风险。

造成信息安全问题的因素其实有很多，黑客、病毒、漏洞等都可能造成信息安全的问题。

不过就目前保险企业而言存在着三大风险。

3.1 系统性风险：缺乏整体规划互联网系统是技术密集的人、机、环境相结合的复杂系统，这些系统大多存在一定程度的脆弱性和易受攻击性。

而目前部分保险企业由于内控水平、资金实力、技术水平等原因，没有制定从系统建设、管理、维护到信息安全保障、应急处理、人才队伍培养等整体建设规划，存在效率偏低、系统建设不完整等问题，两者结合就经常容易出现一些重大潜在的系统性风险，可能给保险企业带来毁灭性的灾难。

3.2 技术性风险：缺乏保障措施互联网保险主要依赖于计算机和互联网技术，不可避免地存在着因互联网自由、开放所带来的信息安全隐患，以及存在运行风险、操作风险、自然风险等一系列人为或非人为风险，需要综合运用防火墙、入侵检测、加密认证、数字签名等信息安全技术，建立涵盖信息存储、传输与处理全过程的安全保障体系，需要建立涵盖安全评估、安全政策、安全标准、安全审计等环节的风险动态监测体系，以维护信息资源的保密性、完整性、可用性、不可否认性及安全认证。

不论是安全保障体系，还是风险动态监测体系，都需要投入大量的人力、物力。

但是，部分保险企业因资金实力不足，或缺乏安全防范意识和安全技术人才，未能建立足够的安全保障措施，存在极大的技术性风险。

3.3 管理性风险：缺乏足够重视目前，部分保险企业成立了电子商务主管部门，制定了一系列管理制度，加强电子商务管理工作。

但是，由于长期受粗放型经营思想的影响，部分保险企业往往都偏重业务发展的速度，轻视业务发展的效益；注重承保的规模，轻视承保的质量；注重对系统风险的承诺，轻视对系统风险的管理。

从而造成了管理组织不完善、管理规范未建立、技术管理不到位、日常管理跟不上等问题的普遍存在，给互联网保险发展带来了较大的管理性风险。

4.互联网保险信息安全风险的防范对策为了有效防范互联网保险面临的信息安全风险，保险行业应加快制定行业建设标准，做好系统建设规划，不断引进新技术，加强培训和管理，提高信息安全保障水平，防范化解信息安全风险。

4.1 强化管理，提高信息安全意识在我国互联网保险还刚起步之时，各保险机构、组织就应当充分重视信息安全问题，才能促进互联网保险的健康发展。

信息安全问题大部分是因内部管理不善引起的，各保险企业要成立专门的组织来负责互联网保险的信息安全管理工作，制定涵盖各个层面的安全管理制度、安全责任制度、安全事件处理机制及安全应急处理预案等，并积极采取措施将制度落实到位。

同时，要加强信息安全意识的教育和培训，定期进行安全意识和安全技能考核，强化全体员工的安全意识及安全责任感，提升领导对信息安全问题的重视程度，提高行业信息安全管理水平和效能。

4.2 制定标准，提高行业信息安全水平目前，我国互联网保险的发展已经如火如荼，具备了一定基础。

但是，行业尚未建立统一的信息安全建设标准，各保险企业建设安全保障体系时具有很大的随意性，想到的时候才建设，有钱的时候才建设，出问题的时候才建设，使得互联网保险始终处于危险之中。

应加快制定互联网保险信息安全建设标准，要求已建成互联网保险的企业按照建设标准进行自查、评估、整改，新建的企业必须达标才能上线，并定期组织对各保险企业信息安全建设情况进行评估、检查，不断提高网络保险信息安全保障水平。

当然互联网保险的信息安全建设是一项复杂的长期性工作，各保险企业要将其纳入企业战略发展目标统一考虑，并结合企业互联网保险发展的实际情况制定近期和远期规划，分批分期逐步建设，充分利用现有资源，通过投入、产出、提升的良性循环，不断为互联网保险发展提供适度的安全保障，为互联网保险平稳快速发展保驾护航。

不能急功近利，好高骛远，片面追求大而全，使得建设成本居高不下，导致一次性投入过大给企业经营带来过度冲击。

4.3 落实技术，提高信息安全技术保障水平各保险企业应加强信息安全保障体系建设，充分运用数据加密、身份认证、入侵检测以及建立数据备份中心等技术和手段，建立涵盖网络交易全流程的安全保障体系，确保互联网保险运作过程中信息的保密性、完整性、有效性，身份的真实性，交易的不可抵赖性，网络和计算机系统的可靠性。

在建设安全保障体系时，应确保其具有较好的可扩展性，能有效支持系统升级和扩展；采购的安全产品应符合国家相关规定，应尽可能选择具有知识产权的安全产品，避免因设备后门等问题给企业带来额外损失。

同时，应积极引进新技术、新设备，提高信息安全保障能力。

4.4 完善立法，做到有法可依有章可循为了使互联网保险跟上网络化发展的趋势，必须根据本国国情尽快制定和完善配套的法律法规，使互联网保险的业务运作和风险防范有法可依有章可循。

目前我国的信息安全管理法规有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和《计算机信息网络国际联网安全保护管理办法》，但与互联网发展相比而言，法律制定还是相当滞后的，而关于互联网保险方面的法律法规更是有待建立，如反不正当竞争办法，电子保险合同管理办法等。

完善的法律法规将是互联网保险有序发展的有力保障。

4.5 重视人才资源，防范道德风险互联网是技术密集型的复杂系统，先进的技术水平是互联网保险发展的基础之一。

各保险企业在充分落实技术的同时，也应重视开发人才资源，提高员工素质。