论文部分内容阅读
随着银行信息技术与业务的深度融合,商业银行业务已全面实现信息化,客户信息、交易信息、经营决策等关键信息都以电子化方式存在,然而电子化信息易拷贝、易传输等特点也对信息安全带来极大的挑战。设备损坏、外部攻击、内部操作失误都可能带来信息泄露、差错的风险,业界统计表明,在这些众多风险因素中内部人员是关键因素,因员工对安全隐患的“不知”,进而“无畏无虑”,或借助接触信息之便,恶意操作都将影响企业信息安全,甚至引发“无可挽回”的后果。大型商业银行员工人员众多,如何筑牢几十万员工信息安全意识这道防线面临的巨大挑战。对此,建设银行从知风险、长技能、固流程、强监督方面进行了一些研究和实践。
知风险——构建全面的信息安全培训知识体系
多一分信息安全意识,就多一分警觉、多一分信息安全知识,就少一分“想当然”。建设银行面向全体员工编制了《信息安全事件警示录》,收集了外部攻击、内控缺陷、系统故障、自然灾害等方面的60多个真实的信息安全事件,通过分析这些信息安全事件,用图形直观清楚地说明事件的发生过程,使员工切身认知安全事件产生的原因、过程和造成的影响。同时,推行安全警示教育年检制。结合当年出现的信息安全案例,以及企业基本安全要求及新出台的制度,制作短小的警示教育微课件,每年度进行更新,依托网络学习系统,强制员工学习并进行年度达标测试,强化合规意识。
针对不同岗位,建设银行分析各岗位面临信息安全风险及防范能力需求,编制了面向全体员工、信息技术人员、信息安全人员、科技管理人员、客户营销人员的专题培训教材。
面向全体员工编制《员工信息安全技能手册》,围绕员工日常办公中最可能遇到的信息安全风险,用直白、简单的话语、直观的图形来传递有效的信息安全防护基础知识,帮助员工在日常办公、业务操作方面自觉融入安全元素,主动防范风险,更有效、更安全地享受信息技术带来的便利。并根据《员工信息安全技能手册》组织开展全行信息安全知识竞赛,传递信息安全基础知识和基础技能,提高员工安全应用信息系统的能力。
面向信息技术人员编制《信息技术人员安全手册》、《新技术安全手册》,提升技术人员了解新技术风险并运用安全技术防范风险能力,使信息技术人员知晓哪些风险需要面对、哪些安全要求必须遵守、哪些安全手段可以利用,懂得在开发和运维中如何应对、解决安全问题,保护信息系统的硬件、软件及数据安全,保障信息系统能够连接、可靠运行。
面向信息安全人员编制《信息安全人员实务手册》、《信息安全管理标准解读》,其中《信息安全人员实务手册》提供安全问题解决思路,讲解软件开发安全、系统建设安全、日常运维安全和安全事件应急处置技能,增强安全人员安全实务操作技能;《信息安全管理标准解读》具体介绍ISO 27001、COBIT、SP800-53等与信息安全相关的标准,详述了标准发布背景、主线与体系模型、主要管控项说明、适用范围和应用场景、借鉴价值、在行内的应用情况等内容,增加安全人员运用业界最佳实践的能力。
面向科技管理人员编制《信息科技监管制度导读》,从国家、行业、上市公司等层面梳理信息科技监管制度,对于每个监管制度,介绍了其出台背景、制度主线、主要内容,并整理需要银行落实的信息科技任务,指导管理人员学习和落实监管制度,有效促进信息科技合规管理,更好地支持业务创新发展和安全运营。
面向客户营销人员编制《客户营销人员信息安全手册》,针对客户营销人员接触客户信息多、外出营销频、系统使用环境杂等特点,以客户营销人员的日常工作活动为主线,梳理其在外出营销、行内营销、客户信息系统使用、日常办公等各工作活动中的信息安全注意事项,并明确客户营销人员应知应会的常用信息安全操作技能,有效保护客户信息和银行资产安全。
长技能——建立员工安全技能持续提升机制
第一次将事情做好是最富有成效的安全防护,为此,建设银行十分注重培养各级员工在信息安全工作中“我能”意识,鼓励全员参与信息安全建设,“多一分信息安全技能,就少一分隐患”,力促员工安全应用信息科技,将大量低级操作错误和风险隐患抑制在萌芽阶段。建设银行建立了新员工入职安全培训、年度安全培训机制,并开发安全工具箱,实现人人参与安全。
建立新入行员工信息安全培训机制,确保新入行员工上岗前必须掌握基础的信息安全知识和建设银行关于信息安全的制度要求;信息技术条线新员工入岗前进行安全培训,学习信息安全制度及总行组织制定的信息技术人员安全知识手册,确保掌握应知的安全制度和必备的安全技能;从事关键岗位的人员学习本岗位相关案例,以及监管部门发布的风险提示,增强风险防范意识,提高主动防范规避风险的能力。
制作安全技能网络培训课件,借助全行的网络学习平台,开展在线信息安全培训,总行每年发布年度IT风险管理培训计划,通过现场或视频方式宣讲制度、分析案例、推广安全技术,通过编制培训教材深化培训。分行每年制定辖内IT风险培训计划,对信息技术关键岗位、信息技术人员、业务人员及相关管理人员宣讲制度、传播安全防护技能,持续提高全员IT风险防范意识和防护能力。
开发信息安全工具箱,实现员工人人参与安全。立其功,先得利其器。借鉴对PC的健康体检模式,开发桌面终端系统安全自查工具,内置企业安全策略,对终端中保存的重要数据和文档情况、终端安全防护能力情况、终端可能面临的威胁情况等进行检查,让每个员工了解自己终端价值大小,谁动了自己的设备以及自身设备安全情况如何。借鉴电脑厂商的一键恢复,在自查工具中融入漏洞修补、数据加密、使用痕迹清理和数据彻底清理等功能,让每位员工不再觉得信息安全那么遥远。
固流程——引导员工安全做事
对重要信息资产的使用和操作应加强流程建设,以流程管理引导员工正确使用信息资产,以严格制度促使员工规避信息安全风险。建设银行建立了员工日常信息系统使用行为规范,并针对生产数据、系统参数等重要资产建立管理流程,严控员工操作风险。 制定《员工信息系统使用行为规范》及配套画册,围绕员工信息系统使用场景,从安全教育、用户使用、台式设备使用、便携设备使用、内部网络使用、互联网访问、信息使用、邮件收发、系统操作、信息安全事件报告等十个方面规范员工信息系统使用行为,防范信息系统使用操作风险,保障信息系统安全,促进业务持续、稳健发展。
制定《生产数据应用安全管理规定》,规范后台提取生产数据和修改生产数据行为,用于开发测试的数据必须脱敏,从源头控制生产数据扩散。对数据迁移等必须使用大量生产数据的,在生产环境中划出单独区域,按生产环境管控标准进行管理;建立业务数据分析区,业务分析所必须的生产数据,集中存储在业务数据分析区内,只允许通过云桌面方式远程访问,分析区内的数据只能内部流转,不允许下载到客户端。
建立内部数据分发、存储、在线浏览、编辑和安全传输的集中管控平台,兼顾易用性和安全性,引导员工在行内安全使用数据。内部数据集中管控平台一是为员工提供一个适宜的数据存储空间,减少线下数据存储行为;二是实现数据安全分发、加工使用的环境,解决通过邮件传输大文件不便、不安全,办公终端加工使用数据泄露风险大的问题。
针对目前信息系统参数化程度越高、灵活性越强,以及客户自我服务,银行业务人员和外部客户误操作的概率增加,易造成账务错误、交易拥堵等问题,制定《信息系统参数管理办法》,明确参数集中管理机制,规范参数管理工作流程,严格防范员工参数操作风险,实现参数全生命周期管理,保证生产系统安全稳定地运行。
强监督——督导员工做正确的事、正确地做事
信息安全合规问责是实现信息安全行为落实的有力保证,建设银行通过合规制度以及行为监控系统的建设督导员工落实信息安全行为。
结合行内员工积分管理和行为管理要求,制定信息系统操作行为责任认定标准,明确信息系统操作行为事件的责任认定原则、认定流程、责任大小认定标准、积分减扣标准等,强化对信息系统操作的合规管理;通过现场检查、非现场检查、审计发现问责等多种形式,强化违规失职行为责任追究工作,推进轻微违规行为积分管理,加强内控责任落实的监督检查,有效实施问责。
建立行为监控系统。引入操作行为监控机制,建立员工信息系统操作行为集中管控分析平台,实现操作行为记录的集中存储和关联分析,及时发现违规行为,为惩戒违规行为提供技术保证,严控员工违规行为,提高信息科技制度的执行力;在生产环境中建立和部署安全运维管理平台,对于信息技术人员在生产环境中的敏感运维操作进行授权控制和跟踪审计,使得信息技术人员的运行操作风险可控,并对操作进行监控和审计。
员工信息安全培养只有起点,没有终点,建设银行将积极学习业界经验,加强实证应用,持续提升员工信息安全意识。
(作者为中国建设银行信息技术管理部总经理)
知风险——构建全面的信息安全培训知识体系
多一分信息安全意识,就多一分警觉、多一分信息安全知识,就少一分“想当然”。建设银行面向全体员工编制了《信息安全事件警示录》,收集了外部攻击、内控缺陷、系统故障、自然灾害等方面的60多个真实的信息安全事件,通过分析这些信息安全事件,用图形直观清楚地说明事件的发生过程,使员工切身认知安全事件产生的原因、过程和造成的影响。同时,推行安全警示教育年检制。结合当年出现的信息安全案例,以及企业基本安全要求及新出台的制度,制作短小的警示教育微课件,每年度进行更新,依托网络学习系统,强制员工学习并进行年度达标测试,强化合规意识。
针对不同岗位,建设银行分析各岗位面临信息安全风险及防范能力需求,编制了面向全体员工、信息技术人员、信息安全人员、科技管理人员、客户营销人员的专题培训教材。
面向全体员工编制《员工信息安全技能手册》,围绕员工日常办公中最可能遇到的信息安全风险,用直白、简单的话语、直观的图形来传递有效的信息安全防护基础知识,帮助员工在日常办公、业务操作方面自觉融入安全元素,主动防范风险,更有效、更安全地享受信息技术带来的便利。并根据《员工信息安全技能手册》组织开展全行信息安全知识竞赛,传递信息安全基础知识和基础技能,提高员工安全应用信息系统的能力。
面向信息技术人员编制《信息技术人员安全手册》、《新技术安全手册》,提升技术人员了解新技术风险并运用安全技术防范风险能力,使信息技术人员知晓哪些风险需要面对、哪些安全要求必须遵守、哪些安全手段可以利用,懂得在开发和运维中如何应对、解决安全问题,保护信息系统的硬件、软件及数据安全,保障信息系统能够连接、可靠运行。
面向信息安全人员编制《信息安全人员实务手册》、《信息安全管理标准解读》,其中《信息安全人员实务手册》提供安全问题解决思路,讲解软件开发安全、系统建设安全、日常运维安全和安全事件应急处置技能,增强安全人员安全实务操作技能;《信息安全管理标准解读》具体介绍ISO 27001、COBIT、SP800-53等与信息安全相关的标准,详述了标准发布背景、主线与体系模型、主要管控项说明、适用范围和应用场景、借鉴价值、在行内的应用情况等内容,增加安全人员运用业界最佳实践的能力。
面向科技管理人员编制《信息科技监管制度导读》,从国家、行业、上市公司等层面梳理信息科技监管制度,对于每个监管制度,介绍了其出台背景、制度主线、主要内容,并整理需要银行落实的信息科技任务,指导管理人员学习和落实监管制度,有效促进信息科技合规管理,更好地支持业务创新发展和安全运营。
面向客户营销人员编制《客户营销人员信息安全手册》,针对客户营销人员接触客户信息多、外出营销频、系统使用环境杂等特点,以客户营销人员的日常工作活动为主线,梳理其在外出营销、行内营销、客户信息系统使用、日常办公等各工作活动中的信息安全注意事项,并明确客户营销人员应知应会的常用信息安全操作技能,有效保护客户信息和银行资产安全。
长技能——建立员工安全技能持续提升机制
第一次将事情做好是最富有成效的安全防护,为此,建设银行十分注重培养各级员工在信息安全工作中“我能”意识,鼓励全员参与信息安全建设,“多一分信息安全技能,就少一分隐患”,力促员工安全应用信息科技,将大量低级操作错误和风险隐患抑制在萌芽阶段。建设银行建立了新员工入职安全培训、年度安全培训机制,并开发安全工具箱,实现人人参与安全。
建立新入行员工信息安全培训机制,确保新入行员工上岗前必须掌握基础的信息安全知识和建设银行关于信息安全的制度要求;信息技术条线新员工入岗前进行安全培训,学习信息安全制度及总行组织制定的信息技术人员安全知识手册,确保掌握应知的安全制度和必备的安全技能;从事关键岗位的人员学习本岗位相关案例,以及监管部门发布的风险提示,增强风险防范意识,提高主动防范规避风险的能力。
制作安全技能网络培训课件,借助全行的网络学习平台,开展在线信息安全培训,总行每年发布年度IT风险管理培训计划,通过现场或视频方式宣讲制度、分析案例、推广安全技术,通过编制培训教材深化培训。分行每年制定辖内IT风险培训计划,对信息技术关键岗位、信息技术人员、业务人员及相关管理人员宣讲制度、传播安全防护技能,持续提高全员IT风险防范意识和防护能力。
开发信息安全工具箱,实现员工人人参与安全。立其功,先得利其器。借鉴对PC的健康体检模式,开发桌面终端系统安全自查工具,内置企业安全策略,对终端中保存的重要数据和文档情况、终端安全防护能力情况、终端可能面临的威胁情况等进行检查,让每个员工了解自己终端价值大小,谁动了自己的设备以及自身设备安全情况如何。借鉴电脑厂商的一键恢复,在自查工具中融入漏洞修补、数据加密、使用痕迹清理和数据彻底清理等功能,让每位员工不再觉得信息安全那么遥远。
固流程——引导员工安全做事
对重要信息资产的使用和操作应加强流程建设,以流程管理引导员工正确使用信息资产,以严格制度促使员工规避信息安全风险。建设银行建立了员工日常信息系统使用行为规范,并针对生产数据、系统参数等重要资产建立管理流程,严控员工操作风险。 制定《员工信息系统使用行为规范》及配套画册,围绕员工信息系统使用场景,从安全教育、用户使用、台式设备使用、便携设备使用、内部网络使用、互联网访问、信息使用、邮件收发、系统操作、信息安全事件报告等十个方面规范员工信息系统使用行为,防范信息系统使用操作风险,保障信息系统安全,促进业务持续、稳健发展。
制定《生产数据应用安全管理规定》,规范后台提取生产数据和修改生产数据行为,用于开发测试的数据必须脱敏,从源头控制生产数据扩散。对数据迁移等必须使用大量生产数据的,在生产环境中划出单独区域,按生产环境管控标准进行管理;建立业务数据分析区,业务分析所必须的生产数据,集中存储在业务数据分析区内,只允许通过云桌面方式远程访问,分析区内的数据只能内部流转,不允许下载到客户端。
建立内部数据分发、存储、在线浏览、编辑和安全传输的集中管控平台,兼顾易用性和安全性,引导员工在行内安全使用数据。内部数据集中管控平台一是为员工提供一个适宜的数据存储空间,减少线下数据存储行为;二是实现数据安全分发、加工使用的环境,解决通过邮件传输大文件不便、不安全,办公终端加工使用数据泄露风险大的问题。
针对目前信息系统参数化程度越高、灵活性越强,以及客户自我服务,银行业务人员和外部客户误操作的概率增加,易造成账务错误、交易拥堵等问题,制定《信息系统参数管理办法》,明确参数集中管理机制,规范参数管理工作流程,严格防范员工参数操作风险,实现参数全生命周期管理,保证生产系统安全稳定地运行。
强监督——督导员工做正确的事、正确地做事
信息安全合规问责是实现信息安全行为落实的有力保证,建设银行通过合规制度以及行为监控系统的建设督导员工落实信息安全行为。
结合行内员工积分管理和行为管理要求,制定信息系统操作行为责任认定标准,明确信息系统操作行为事件的责任认定原则、认定流程、责任大小认定标准、积分减扣标准等,强化对信息系统操作的合规管理;通过现场检查、非现场检查、审计发现问责等多种形式,强化违规失职行为责任追究工作,推进轻微违规行为积分管理,加强内控责任落实的监督检查,有效实施问责。
建立行为监控系统。引入操作行为监控机制,建立员工信息系统操作行为集中管控分析平台,实现操作行为记录的集中存储和关联分析,及时发现违规行为,为惩戒违规行为提供技术保证,严控员工违规行为,提高信息科技制度的执行力;在生产环境中建立和部署安全运维管理平台,对于信息技术人员在生产环境中的敏感运维操作进行授权控制和跟踪审计,使得信息技术人员的运行操作风险可控,并对操作进行监控和审计。
员工信息安全培养只有起点,没有终点,建设银行将积极学习业界经验,加强实证应用,持续提升员工信息安全意识。
(作者为中国建设银行信息技术管理部总经理)