新华人寿：树立风险管控的常态意识

申请免费试用、咨询电话：400-8352-114

新华人寿保险股份有限公司(以下简称新华人寿)成立于1996年8月，目前市场份额列第五位，伴随着公司的成长壮大，新华人寿的信息化建设见证了中国保险业的发展历程，以及信息化建设的新阶段。

数据集中已经完成

新华人寿总部设在北京，在全国各地拥有34家省级分公司、173家地市级中心支公司和909家营销服务部，内外勤员工超过15万人。面对众多分支机构分布于各地、庞大的人员规模、海量的数据信息及数据的集中化管理等诸多因素的挑战，以及企业业务的快速增长与信息化应用水平的日益深化，数据中心在企业运营中越来越起到至关重要的作用。一旦其出现问题，将会导致整个集团数据应用出现问题，甚至可能会导致整个集团业务系统的瘫痪。为此，新华人寿完成了以“大集中”为特点的IT布局。

“大集中”的全新信息基础架构涵盖灾难恢复、业务连续等关键系统，并与企业重要业务流程紧密结合。企业级数据中有效满足了企业内部用户、外部用户以及管理领导层三个最基本用户群的业务需求。通过公共访问接口，以Web、Call Center、PDA等多种方式接入进来，在此基础上把公司的信息系统做成专业化和组件化的模式是新华人寿数据中心的发展方向。

据介绍，新华人寿的IT系统，如核保、理赔、薪资计算、业务员管理、营销员管理、统计等都在逐步走向专业化，并通过对整个服务和系统框架进行细分来优化保险公司的职责，更专业、灵活地满足业务需求和管理框架需要。

而在“大集中”完成之后，目前的主要任务是深化应用，其中就包括在已经集中的数据平台上加快建设统一客户服务平台，提升服务水平，提高客户的满意。对于保险公司这样的金融服务行业而言，通过服务，提高客户的忠诚度，满意度，留住客户，这一点确实至关重要。

风险防范是新主题

作为一家大型金融企业，从新华人寿的信息化建设本身而言，风险防范已成为了一个新主题。或者说，风险防范已成为整个金融行业信息化的主题之一，因为金融行业的很多业务都是在基于信息系统运行的，如何从规划、建设、运维几个层面防范信息系统的风险？怎样避免因为信息系统的问题给公司的经营带来影响，已成为现在的热门话题。

安全问题实际上算是金融行业所面临着最直接的风险，某种程度上是个常态问题。新华人寿一直设有负责安全管理的岗位，主要负责安全设备的采购、配置、监控，处理一些安全事件等等。为了进一步加强IT风险控制，从去年开始，从70多个IT管理人员中，抽调4人成立了独立内控机构。从公司的IT管理制度、管理流程、制度的执行情况出发，分析整个系统的安全性，对新建系统进行安全评估，对现有系统进行安全监控。

以前的安全管理主要是从网络安全方面考虑，而内控部门成立之后，开始从更大的方面入手，对整个系统的架构、系统配置的安全性、用户使用的安全性更加关注。因为安全问题需要长期关注，内控或者风险管控不存在做完的那一天，需要不断丰富、不断完善。国际上内控标准也在不断升级，改版，所以新华人寿的内控小组将成为常设部门。

灾备为企业买“保险”

对于拥有34家省级分公司、173家地市级中心支公司和909家营销服务部的新华人寿来说，企业网络的信息安全是一个系统而庞杂的工程。首先要通过防火墙搭设DMZ(Demilitarized Zone，隔离区)区域，并把所有对外部访问的服务器和网络设备都放到这个区域里，同时通过外部防火墙和内部防火墙有策略地把他们隔离起来。

此外，在网络中有一些核心交换的服务器，通过交换机单独划分出一个区域，这是为了保证用户只能访问与自己工作相关的网络，而不是随意进行访问。严格控制内部网络访问，并通过多种方式以防止计算机病毒传播、未授权访问、DDoS攻击等内部网络存在的安全隐患。

最后一环就在于服务器本身，在企业数据中心不断发展的同时，网络规模也在不断扩大。并且，企业在不同地区建有分公司或分支机构，本地庞大的企业内网和分布在全国各地的网络之间互相连接形成一个更加庞大的网络。因此，网络中数据交互的安全性必然是安全策略中的重点。服务器本身也设有系统管理员和数据库管理员，还要划分用户的不同权限，分公司只能访问分公司的网络，总公司要访问其他分公司的网络也是有权限限制的。

数据备份与其说是公司信息安全的最后一道防线，到不如说是给公司自己买份“保险”。特别是在信息化建设更深入的今天，除了在问题发生之前就要考虑如何避灾以外，还必须保证在问题发生后对业务带来尽可能低的影响。

新华人寿从2006年开始就展开了灾备工作，并遵循国家标准。国家标准有6级，新华人寿是在4到5级之间，这个级别需配置灾难恢复所需的全部数据处理设备、通信线路和网络设备，并处于就绪状态; 对备用场地也提出了支持7×24小时运行的高要求; 同时，这个级别对技术支持人员的运维管理要求也有了相应的提高，也就是说要做到运行与备份同时运行。

最后一点，备份从应用级来讲，有服务器和硬盘就可以了，平常可以让其跑一些开发、测试、查询等方面的应用，不跑实时交易，数据会一直传输，一旦出现问题就可以把其他应用停下来，把业务系统恢复过去。新华人寿的灾备中心建设已于去年底完成规划，今年将展开全面实施工作。