下载掌阅APP,畅读海量书库
立即打开
金融行业的典型特征是,各项业务开展以及IT发展,必须遵守各项管理规定,合规是金融企业的底线和最低要求。为落实监管规定以及企业内部管理制度,金融业内部控制(简称“内控”)的要求相对其他行业高出不少。对于金融机构来说,IT内控合规是广义信息安全的一部分,而且是科技管理体系中很重要的一环。
合规、内控、风险管理,是金融企业经常提到的三个关于合规建设的概念,这三者之间既有区别,又有关联。
·合规管理是最基础的层面,合规管理的目标是避免违反内外部法律法规、规章制度、流程规范,避免因不合规导致的风险。
·内控比合规管理更进一层,内控不但要求合规,还要审视“规”是不是完善,“规”有没有配备相应的执行点,执行“规”的过程是不是有效。
·风险管理,特别是全面风险管理,是风险管控的最高形式。风险按标准划分为市场风险、信用风险、流动性风险、操作风险、法律风险。而合规、内控只是操作风险管理的手段。大部分金融企业会设置首席风险官,属于公司高级管理层。
虽然从一般意义上说,风险管理>内控>合规,但由于企业习惯将风险管理及其所包含的内控、合规活动统称为内控合规管理,而且本书探讨的是企业信息安全管理,故本书所称的内控合规,特指IT内控合规,即围绕信息科技风险管理的一系列管理活动。
金融企业IT内控合规管理的目标是,通过建立有效的机制,实现对金融企业IT风险的识别、计量、监测和控制,对外保障IT活动符合监管机构各项管理要求,对内确保各项管理要求的落地和控制措施有效,最终实现IT风险可控。
在具体实践中,IT内控合规管理的领域包括:信息科技风险管理、监督检查、制度和公文管理、业务连续性管理、信息科技外包管理、分支机构管理,以及其他一些工作。根据不同企业对IT内控合规的理解不同,管理的领域可能会有一些不同。
在很多金融企业中,IT内控合规管理的岗位给人的印象就是“写报告”,这种说法比较通俗易懂,但失之偏颇。
其一,写报告只是展现方式,报告中的内容,需要各种学习、对标、检查、督促等大量的积淀。所谓“巧妇难为无米之炊”,可以说,先要有对风险的深度掌控这个“米”,才能做出一份好报告的“炊”。
其二,要写好一份报告,不是简单的文字堆砌,而是需要能力、知识、技能和逻辑架构的功底,需要很多年持之以恒的积累和丰富的技巧。针对不同的对象要有不同的报告,针对不同的要求要有不同的报告,针对不同的时期也要有不同的报告。所谓“运用之妙,存乎一心”,要写得非常熟练、自然、流畅,要合乎阅读对象、形势、场景、时间的需要,需要多年的积累,方可挥洒自如。
笔者从IT内控合规管理工作的经历中,总结出一套落地方法,可以用一个简单的口诀表示——外规对内规,内规对检查,检查对整改,整改对考核。
·外规对内规。将外部规范要求分解成元要求,去重合并,和内部规范一一对应,每条元要求对应的结果为三者其一:1)满足要求;2)冲突;3)缺失。如果是2)、3)两种情况,要么修订内部规范,要么增加内部规范,以满足外规要求。通过识别,外部规范(指中国人民银行、银监会、公安部等监管机构发布的规章)分解成9大类、52个小类、1249条元要求,去重合并后形成外规内规对应关系。在外规对内规的梳理过程中发现了部分外规元要求没有内规承接和冲突的情况。
·内规对检查。依据监管要求和外部标准梳理出内部规范后,建立一套适用的检查标准,并进行全面覆盖的检查,包括常规检查、专项检查和事件驱动检查。具体内容见4.3节“监督检查”。
·检查对整改。建立一套电子化系统,实现检查计划制订、检查实施、报告管理、问题跟踪等全过程的电子化管理。检查发现和整改情况纳入问题管理流程。
·整改对考核。将检查发现和整改情况纳入团队和个人当月和年度考核,实实在在地与个人收入挂钩,才可能引起重视,提高整改达成率。
较多的大型金融机构(如银行)均建立了外规条款数据库,并可以根据关键字进行快速检索查询,供内部使用,取得了不错的效果。
下文分别介绍IT内控合规管理的各个领域。
银监会发布了《商业银行信息科技风险管理指引》,证监会(包括协会)发布了《证券期货经营机构信息技术治理工作指引(试行)》《证券期货经营机构信息技术治理工作指引(试行)》等,对信息科技风险管理提出了明确的管理要求。
注意
银行业“信息科技”的提法较多,证券基金期货“信息技术”的提法较多,本文未做严格区分。
信息科技风险 是指在运用信息科技过程中,由于自然因素、人为因素、技术漏洞或管理缺陷产生的操作、法律和声誉等风险。信息科技管理的原则如下:
·事前预防为主原则。在风险发生以前建立有效的风险管理措施,降低风险发生的可能性或减少风险可能造成的损失。
·全面性原则。信息科技风险管理应覆盖到全行各部门、岗位、人员及操作环节中,使信息科技风险能够被识别、评估、计量、监测和控制。
·成本效益原则。对风险管理措施的实施成本与风险可能造成的损失进行分析比较,选取成本效益最佳的风险控制方案。
对信息科技风险的管理需要根据董事会设定的风险偏好,在成本效益原则下,最大限度地完善信息科技风险管理体系,保障IT长期、稳定、健康的发展。
典型的信息科技风险管理组织架构示例如图4-1所示。
图4-1 信息科技风险管理组织架构
下面简单介绍金融机构信息科技风险防范三道防线。在一般商业银行中三道防线的概念比较多,其他证券保险基金期货用此概念较少,但实际部门组织架构和岗位职责的设置是类似的。
第一道防线:信息科技部门
·主要关注日常的风险管理。
·识别、分析与评估、控制、监测及报告风险管理情况。
·信息技术部门各团队严格执行各项风险管理政策和要求,定期评估。
·通常向首席信息官、信息科技管理委员会报告。
第二道防线:风险管理部门
·侧重制定风险管理政策、制度、流程,在第一道防线的基础上对风险进行集中管理。
·在总部层面设立风险职能部门,监督和协调整个风险管理框架的有效性和完整性,与前台部门保持相对独立。
·对IT条线提供精细化的风险管理策略和支持。
·与第一道防线保持一定的独立性,通常向首席风险官、风险管理委员会报告。
第三道防线:稽核审计部门
·按期进行全面的或专项的审计或稽核。
·与IT部门和风险管理部门保持独立,对风险管理框架、内控体系的完整性和有效性提供独立的审计和管理意见。
·通常向董事会下设的审计管理委员会直接报告。
注意
一道防线和二道防线向经营管理层汇报和负责,而稽核审计部可以直接向董事会汇报和负责,保持独立性。
信息科技风险管理可以从8个领域开展:
·IT治理。IT治理的目标是,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构,为企业信息科技的发展提供战略方向和资源保障,并保证信息科技的战略与全行业务战略目标相一致。
·信息安全。信息安全的目标是建立信息安全管理策略和技术措施,确保所有计算机操作系统和系统软件的安全,并进行必要的员工培训。这里所讲的信息安全,是指狭义的信息安全。
·信息系统开发、测试和维护。信息科技部门应针对信息系统需求分析、规划、采购、开发、测试、部署、维护、升级和报废等各环节,建立管理制度和流程,管理信息科技项目的排序、立项、审批和控制,并持续监控重大信息科技项目的进展情况。
·信息科技运行。信息科技部门应对人员职责分配、数据保存、操作方法、服务水平、变更、故障、性能及容量管理,建立制度和流程,并对信息科技突发事件建立应急处置预案,严格执行突发事件报告制度,落实突发事件的处置职责。安全保卫部门负责信息系统机房的物理环境安全管理。
·业务连续性管理。金融企业和各相关机构应建立恢复服务和保证业务连续运行的管理机制和备用方案,并定期对其进行检查和测试,保证在业务运行中断时可以快速启动备用方案,降低业务中断带来的影响。信息科技部门负责信息系统灾难恢复方案的制订、实施和维护。
·外包管理。信息科技部门负责管理信息科技相关的外包业务,制定与信息科技外包业务有关的管理政策,保证信息科技外包服务有协议、服务合同和监督机制的约束。
·内部审计。审计部门应根据信息科技风险所涉及活动的性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技审计范围和频率,对信息科技风险管理的适当性和有效性进行审计和评价,向董事会提供独立的信息科技风险审计意见。审计部应至少每三年进行一次全面的信息科技风险审计;在进行重大系统开发时,审计部门应参与其中,保证系统开发符合金融企业的信息科技风险管理要求。
·外部审计。在符合法律、法规和监管要求的情况下,根据需要可以委托具备相应资质的外部审计机构进行信息科技外部审计。在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守公司的商业秘密和信息科技风险信息。
信息科技风险管理,需要遵循一定的“套路”—有流程、有方法、有工具。
信息科技风险隶属于操作风险,管理手段一般遵从第二道防线风险管理部门的管理手段。实际中,无论是银行还是证券,都会按照第二道防线下发的操作风险管理三大工具和要求开展工作。这里简单介绍一下操作风险管理的三大工具。
操作风险管理的三大工具,包括风险与控制自我评估(Risk Control Self-Assessment,RCSA)、损失数据收集(Loss Data Collection,LDC)和关键风险指标(key risk indicators,KRI)。三大工具贯穿操作风险管理始终,为高效率、系统化的操作风险管理提供帮助。通常采取信息科技风险与控制自我评估、设置信息科技关键风险指标、信息科技风险监控报表三种手段对信息科技风险进行管理。
·RCSA,是识别和评估信息科技风险及风险控制措施有效性的管理手段。各相关部门应按照预先设定的工作方法,对其职责范围内的信息科技风险管理现状进行评估。信息科技风险与控制自我评估是信息科技风险管理持续改进的基础工作和关键环节。
·LDC,是指依据监管规定、内部操作风险偏好与管理需求所定义的收集范围,针对操作风险事件的相关信息进行数据收集、内容分析、整改方案设计与执行、损失分配和内外部报告等程序。通过持续开展损失数据收集,一方面,可以动态反映企业操作风险损失的分布情况及发生诱因,为有效识别评估操作风险和强化管理提供线索和方向;另一方面,可以逐步建立操作风险损失数据库,为今后进行风险建模和计量积累数据,最终达到提高操作风险管理水平、降低风险损失的目的。
·KRI,是反映信息科技风险水平的一系列统计指标,具有可量化的特点。关键风险指标用于监测可能造成重大信息科技风险事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标。通过对主要风险类型的早期预警并及时采取应对措施,避免重大信息科技风险事件的发生。
同时,通过信息科技风险监控报表,定期汇总分析,能够获取信息科技风险情况,并能掌握总体风险变化趋势。
金融企业的信息科技风险管理流程包括信息科技风险识别、风险分析与评估、风险控制、风险监测及风险报告等五个环节。
· 风险识别。 信息科技风险识别是指对企业具有脆弱性,可能受到威胁侵害,需要保护的信息资源或资产进行识别和分类,并对相关的威胁和脆弱性进行确认的过程。风险识别是风险管理的第一步,也是风险管理的基础。信息科技风险具有一定的可变性,风险识别是一项持续性和系统性的工作,应密切注意原有风险的变化,并随时发现新的风险。
· 风险分析与评估。 信息科技风险分析是指对风险的可能性及其发生以后所造成的影响进行综合度量。信息科技风险评估单位应通过定性或定量的评估方法,判断风险的影响程度和发生可能性,确定风险的等级。
· 风险控制。 信息科技风险控制指根据企业的风险偏好及风险评估的结果建立相应的风险管理措施。通过建立事前预防、事中监控及事后复核的风险管控手段,降低风险发生的可能性及其造成的影响,并根据公司的信息科技风险容忍程度采取规避、降低和转移风险的措施,将风险控制到公司可接受的水平之内。
· 风险监测。 信息科技风险监测是指对信息科技风险进行定期或持续的检查,及时发现新出现的信息科技风险以及风险管理措施出现的问题,并采取相应的补救措施,以保证公司的信息科技风险在不断变化的内外部环境中,始终处于公司的风险容忍水平之内。应定期通过风险评估和审计等方式对风险的发展与变化情况进行持续监测,并根据需要对风险应对策略进行调整。
· 风险报告。 信息科技风险报告指信息科技部门、风险管理部门和稽核审计部门,依据特定的格式和程序对信息科技风险状况进行描述、分析和评价,形成信息科技风险报告后,按照规定的报告路线进行汇报。报告的内容应完整、客观、清晰。
为了使董事会、高级管理层和各级领导充分、及时地了解金融企业的风险状况,需要建立信息科技风险报告机制。报告遵循以下原则:
·逐级上报。
·IT业务条线、风险管理条线、审计条线各自汇报。
各部门的汇报路径、汇报形式和汇报频率,如图4-2所示。
图4-2 汇报路径示例
信息科技部门、风险管理部门和审计部门分别按照以下汇报路径,向高级管理层和董事会报告全行信息科技风险状况和重大信息科技风险事件:
·信息科技部门负责定期向高级管理层下设的信息科技管理委员会报告信息科技风险管理工作情况。
·风险管理部门负责定期向高管层下设的风险管理委员会报告信息科技风险状况;同时,根据要求向董事会及下设的风险控制委员会报告。
·审计部门负责定期向董事会下设的审计委员会报告信息科技审计情况。
第一类是定期报告,三道防线部门按照不同频率和报告路线开展:
·信息科技部门向主管IT的高级管理层成员汇报信息科技风险管理月报,向第二道防线、第三道防线汇报IT风险管理和IT内外部审计情况。其中信息科技风险管理月报主要是向主管科技的高级管理层成员(例如首席信息官)汇报周期内IT运行情况(事件、容量、交易量、业务连续性等)、研发情况(开发质量、)、信息安全(数据安全、人员管理、审计问题),以及其他事项。
·风险管理部定期完成操作风险监测并向高级管理层报告,至少每季度向董事会及下设的风险控制委员会报告全面风险管理情况(包括信息科技风险)。
·审计部每年向董事会下设的审计委员会报告信息科技审计情况。
第二类是触发式报告,由信息科技部在发生以下情况时主动报告:
·发生重大信息科技风险事件。
·信息科技环境发生重大变化。
·监管机构要求时向高级管理层汇报。
此外,除了向高级管理层进行内部汇报外,还要按照监管要求向监管机构报送与信息科技风险有关的报告,也包括定期报告或触发式报告两种形式。
信息科技风险管理在IT管理中日益重要。对于高级管理层来说,需要全面了解公司信息科技风险及风险管控情况,并能够在一定程度上对可能发生的风险事件进行预警。对于人民银行、银监会、保监会、证监会等监管机构来说,针对银行信息科技提出了一系列监管要求,需要及时发现合规问题和潜在风险,确保整体合规。为此我们设定了一系列监控指标,并进行持续地整合和完善,力求建立一套内容全面、标准统一、结构系统的信息科技风险监控指标体系。
在实际工作中,经常发现以下问题:
·监管要求来源渠道多,容易遗漏。
·不同渠道的部分监管要求重复。
针对这些问题,可以采取以下措施解决:
·建立信息科技风险库。
·建立信息科技风险监控指标体系。
·运用监控指标体系。
为了全面、体系化地识别日常管理中需要的信息科技风险监控指标,首先需要建立一套完整的信息科技风险库。风险库来源应该全面覆盖行业监管合规要求、行业风险事件、行业标准、公司风险现状和相关专家知识库,保障风险库的完备性,如图4-3和图4-4所示。
基于“威胁×脆弱性=风险”的理论基础,可以从监管要求、行业和公司历史风险事件、业界最佳实践标准等着手,从自然环境因素、人员因素、技术因素和业务因素等方面的威胁,分析出在人员、流程和技术等领域的脆弱性,进而识别出信息科技风险点,形成信息科技风险库。
通过对人民银行、银监会等监管机构发布的监管要求和标准进行详细解读,逐条提炼出相对应的信息科技风险描述,同时将业界和企业内部历史上曾经发生的信息科技风险事件案例作为风险识别的一个重要输入,通过对监管机构发布的风险提示、披露的银行业信息科技风险事件和内部过往信息科技风险事件的分析,提炼出各个风险案例中的风险点,并结合信息系统和技术控制目标(Control Objectives for Information and related Technology,COBIT)、信息技术基础架构库(Information Technology Infrastructure Library,ITIL)、ISO27001(信息安全管理体系)、软件能力成熟度集成模型(Capability Maturity Model Integration,CMMI)等国际标准和内部多年积累的风险知识库的内容,构建成信息科技风险库。
图4-3 信息科技风险指标库来源
图4-4 信息科技风险识别框架
识别关键风险指标是指,基于前期建立的信息科技风险库中各个风险点,进行全面梳理和分析,在对所有风险点进行评估的基础上,分析确定各个风险点的驱动因素,并进行关键信息科技风险指标的识别。然后,根据重要性、系统性、合规性、代表性和可操作性等原则,对风险监控指标进行筛选。最后,在指标确定后,明确指标的含义和计算方法等关键属性,如图4-5所示。
图4-5 信息科技风险关键指标识别方法
关键信息科技风险指标可以是客观的量化指标,如信息系统可用率,也可以是偏重定性的指标,如信息科技组织架构合理性等;可以是客观的,如灾备系统覆盖率,也可以是主观评价型的,如信息科技组织架构成熟度等。
监控指标体系主要运用在以下几个方面:
·有效评估信息科技风险管理水平。
·动态监测信息科技风险状况。
·合理配置信息科技风险管理资源。
·及时采取管理措施。
必要时通过专业数学建模方法论,可以构建信息科技风险预警模型和管理流程,预警风险并进行风险处置。
日常进行风险指标监测,并按月向二道防线和公司主管领导汇报监测情况,对于监测到的异常需要进行及时处置。
首先,依据监管要求、外部标准和内部规范梳理出一套适用的检查标准,并进行全面覆盖的检查。通过识别,外部规范分解成9大类、52小类、1249条元要求,去重合并后形成外规内规对应关系,也就是信息科技风险检查标准库,如图4-6所示。
然后,制订全年检查计划,采用常规检查、专项检查、事件驱动检查相结合的方式,100%覆盖信息科技风险检查标准库。一个典型的监督检查运行图,如图4-7所示。
专项检查围绕信息科技风险领域,如外包管理、可用性管理、数据安全、业务连续性管理等。例如,某年共开展××项专项检查工作,提出改进完善建议×××余个。
常规检查注重变更、发布、值班等日常运维重点模块,按周开展监督检查。例如,追踪变更发布近万个,追踪发现违规问题××个,同时提出风险规避建议×条。
图4-6 信息科技风险检查标准库
图4-7 监督检查运行图示例
事件驱动检查一般在可用性事件、信息安全事件或重大违规违纪事件发生后进行,对于检查中发现的问题全部纳入问题管理流程进行跟踪管理。而且,通过问题跟踪机制,可以同时归口管理第二、三道防线的检查发现,充分确保问题统一归口、管理追踪无遗漏,并使整改方案可实施、进度有跟踪、实施有成效,监督检查闭环流程如图4-8所示。
图4-8 监督检查闭环管理流程
监督检查是确保风险管理政策、措施、流程落地的有效保障,检查方式、投入资源、结果运用根据实际情况灵活决定。
无论企业属于什么行业、规模大小、发展快慢、战略方向如何,都需要一套科学合理的制度体系,保证制度的合规性、有效性、可操作性及规范性,才能更好地管理和约束员工,形成有序、良性发展。金融企业的IT部门也一样。
制度一般以条文形式展示,名称通常冠以政策、规定、办法、规程、细则、指引等;制度可以通过制度补丁的方式进行调整、补充和完善,制度补丁可以采取条文或非条文的形式展示,一般以修订通知、补充通知或加强管理通知等标题体现。
制度体系应遵循架构合理、层级清晰、覆盖全面的原则,制度体系一般包括三级:
·政策级制度,是指用于规范业务条线行使经营管理职责基本事项的制度,名称一般使用制度、规定、政策、章程等。
·办法级制度,是指用于规范业务条线的工作方法和具体内容的制度,名称一般使用管理办法、管理规程等。
·规程级制度,用于规范具体的作业内容,名称一般使用操作规程、操作细则、实施细则、指引等。
在起草制度过程中,应开展调查研究,广泛征求制度执行部门和人员、部门内部相关人员的意见,以论证制度的必要性、有效性、合理性和可操作性。紧密涉及其他部门职责或与其他部门关系的制度,主办部门应充分征求其意见。征求意见可采取发送征求意见函、召开制度会审会、签报以及发文会签等方式进行,其中发文会签为此类制度在发文阶段的必经程序。
制度内容一般应包括:总则(含目的依据、适用范围、管理原则、职责分工、定义等)、管理流程、监督检查及罚则(如有)、附则(含制定细则要求、解释部门、施行日期、作废声明等)。
制度评审主要包含以下内容:
·是否符合法律、规则、准则和监管要求。
·是否与本公司有关制度协调一致、接口清晰。
·是否影响本公司制度整体架构的合理性和清晰性。
·制度描述的流程是否清晰并具有可操作性。
·是否符合本公司制度的规范性要求。
·评审人员可以对其认为的其他制度问题(如制度实用性和适宜性等)提出评审意见。
经评审、审核或审议通过的制度以公文形式印发。为便于制度维护和管理,印发的制度原则上应一文号对应一项制度。主办部门应根据制度的印发时间,合理确定制度的施行日期,并在制度中明确。实际中,很多情况是“本文自发布之日起施行”,但不如确定日期更合适。
制度的维护包括制度的后续评估和制度改进。制度后续评估是指主办部门对制度实际管理效果进行的自我评估,旨在发现制度存在的问题,评估是否需要对制度进行改进。后续评估包括以下内容:
·是否存在合规性、有效性、可操作性和规范性等制度问题。
·制度间是否存在重复、冲突。
·是否存在制度缺失和管理盲点。
·对制度进行梳理,摸清制度补丁情况,评估实施整合的可行性和必要性。
对执行层面反映意见较多的制度,主办部门应及时进行后续评估。对于施行超过5年的制度,主办部门必须进行制度后续评估,并将评估结果报同级制度主管部门。
在日常工作中,总分支机构各部门应多方收集和整理制度信息,提高制度后续评估的效率和质量。制度信息包括:外部政策变化,总部制度的变化,制度解释解答,基层操作人员反馈的制度问题,业务检查发现的管理漏洞,外部或同业案件反映的管理漏洞和新风险,内部组织架构、管理和业务流程调整等。
制度改进是指根据制度后续评估结果和业务管理需要,主办部门实施的制度新增、换版、修订、补充以及整合工作。在实施制度改进工作前,主办部门要评估制度改进的成本,兼顾制度的稳定性和执行的方便性,选择印发制度补丁、增加新制度或换版等方式对制度实施改进。对于制度存在较多补丁的,相关部门要结合部门制度架构的安排,对制度实施整合。一般情况下,一项制度的补丁不应超过3个。
制度补丁主要有以下几种方式:
·修订通知,是指针对具体制度条款实施调整的制度补丁,发文中应写明作废条款的内容以及对应替换条款的内容,一般情况下其发文标题拟为“关于修订《××公司×××》有关条款的通知”,并在文中注明解释部门和施行日期。如同时补充了相关内容,应对补充内容进行独立描述,并将发文标题拟为“关于《××公司×××》的修订补充通知”。
·补充通知,是指针对具体制度进行整体补充的制度补丁,不对原制度条款实施改变,发文中主要描述补充的内容,一般情况下其发文标题拟为“关于《××公司×××》的补充通知”,并在文中注明解释部门和施行日期。如属对新增业务功能或管理内容的补充,也可采取条文的形式,一般情况下其发文标题拟为“关于印发《〈××公司×××〉新增×××的补充规定》的通知”。
·加强管理通知,是指从某一类业务或管理出发提出的改进要求,对原有的一系列相关制度规定均实施改变的制度补丁,一般情况下其发文标题拟为“关于加强××管理的通知”,并在文中注明解释部门和施行日期。
为加强制度补丁的关联性和针对性,以便于制度查阅和学习的系统性,各部门在选择制度补丁方式时,应尽可能采用“修订通知”或“补充通知”的方式。如以“电邮部通”方式下发的通知涉及制度管理的,一般仅限于对制度进行强调或解释,不得用于对制度进行补充和修订。
制度应明确解释部门,原则上由制度主办部门负责解释,特殊情况下应明确各部门解释的范围。低层级制度与高层级制度规定相抵触时,以高层级制度规定为准,但制度解释部门另有正式批复或回复的除外。
英国标准协会(British Standards Institution,BSI):业务连续性管理(Business Continuity Management,BCM)是一个整体性的管理流程,它主要识别威胁组织的潜在影响,并且提供构建组织弹性和有效响应的框架,以保护组织关键利益相关方的利益、声誉、品牌以及价值创造的活动。(BSI,BS25999,ISO22301的前身。)
中国银监会:商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。(《商业银行业务连续性监管指引》银监发[2011]104号)
ISO22301为第一份直接以业务连续性管理(Business Continuity Management,BCM)为主题的国际标准。该标准的性质为要求(Requirements),因此可用于审核与认证。除了ISO 22301外,另有属于指引(Guidance)的ISO 22313,ISO 22313与ISO 22301合为具有完整架构的业务连续性管理国际标准。
2007年《商业银行操作风险管理指引》中,业务连续性要求的重点为实现从系统到业务的提升。
2008年《银行业重要信息系统突发事件应急管理规范》中,明确了银行突发事件应对原则;日常管理以及应急管理组织架构;细化了危机事件预测预警和内外部上报流程。
2009年《商业银行信息科技风险管理指引》中,商业银行应制订全面的信息科技风险管理策略,包括业务连续性计划和应急处置。
2010年《商业银行数据中心监管指引》中,明确了数据中心的建设以及灾备中心的系统、数据建设目标,以满足业务连续性的需求。
2011年《商业银行业务连续性监管指引》中,从全行层面明确规定了业务连续性管理建设各阶段的要求,具有较强的规范性与可操作性。
2013年《商业银行资本管理办法》中,明确要求业务连续性管理实施是标准法计提操作风险资本的前提条件之一。
2002年《关于加强银行数据集中安全工作的指导意见》中,规范了银行网络可靠率、UPS供电时间、数据全备份频率、灾备中心建设、业务连续性计划和演练要求。
2006年《关于进一步加强银行业金融机构信息安全保障工作的指导意见》中,强调了银行需建立灾备中心,并定期进行灾备演练。
2007年《银行业信息系统灾备恢复管理流程》中,规范了信息系统应急响应和灾备恢复的具体要求,规范了灾备恢复组织架构,明确了各等级系统的恢复时间目标(Recovery-Time Objective,RTO)和恢复时间点目标(Recovery Point Objective,RPO)。
部分国家及地区金融监管相关指引如表4-1所示。
表4-1 部分地区金融监管相关指引
根据国际良好实践以及BCM的实施经验,将BCM的实施过程总结为以下几个关键步骤:
1)制度和组织建设。建立BCM管理制度,组建总分支机构BCM管理组织架构,明确各部门职责。
2)业务影响分析(Business Impact Analysis,BIA)和风险评估(Risk Assessment,RA)。确定BCM的需求和管理策略,识别、分析、评价风险,确定防止、降低损失的控制措施。
3)资源建设、预案制订。为满足业务持续运营目标而开展的资源建设,根据RA的成果制订和完善预案。
4)演练、维护和评估。通过演练提高组织应急处置能力,验证资源可用性,评估BCM体系并持续改进。
5)BCM企业文化建设。贯穿BCM整个过程,提高全员意识,将BCM融入企业文化中。
(1)重要业务
《商业银行业务连续性监管指引》(银监发〔2011〕104号)第三条规定重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
支持重要业务运行的系统,相应地就称为重要系统。
(2)RTO和RPO
恢复时间目标(RecoveryTime Objective,RTO)分业务RTO和系统RTO,指业务或系统从中断到恢复所需要的时间,是业务或系统恢复及时性的指标。恢复时间点目标(Recovery Point Objective,RPO)分业务RPO和系统RPO,指业务或系统数据恢复到的时间点,是业务或系统恢复数据完整性的指标。
(3)BIA
业务影响分析(Business Impact Analysis,BIA)是整个BCM流程建立的基础工作,在这一过程中,通常会利用定量和定性分析相结合的方法对业务中断可能导致的经济与运营损失进行科学的分析,从而制订重要业务的恢复优先级、恢复目标(RTO与RPO)以及重要信息系统的恢复优先级和恢复目标等,通过BIA确定业务连续性管理的策略。
BCM就是解决运营中断事件发生时需要用多少资源、多长时间、什么方式、恢复什么业务的问题,其中资源、时间、业务都是BIA的成果。
《商业银行业务连续性监管指引》(银监发〔2011〕104号)第二十三条规定,商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析,并形成业务影响分析报告。
(4)风险评估
风险评估(RA)是进行风险识别、风险分析和风险评价的整个过程,基于BCM的风险评估,关注于可能对BIA所识别的重要业务造成中断的各类威胁发生的可能性和影响程度,并针对潜在的威胁和影响制订进一步的风险管控措施。RA是BCM开展的基础和主要需求来源之一。
《商业银行业务连续性监管指引》(银监发〔2011〕104号)第二十八条规定,“商业银行应当开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境,以及关键的人员、业务场地、业务办公设备、业务单据以及供应商等”。第二十九条规定,“商业银行应当根据风险敞口制订降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施”。
业务影响分析实施过程包括重要业务和重要系统的识别,重要业务的影响分析过程及结果,重要系统的影响分析过程及结果,从而得出整个BIA成果,具体流程如图4-9所示。
恢复时间目标和恢复时间点目标(RTO和RPO):
·业务RTO,是指业务恢复所需要的必需时间,是业务恢复及时性的指标。对于公司来说,就是允许我们用多长时间恢复中断的重要业务。
·业务RPO,是指业务恢复到的时间点,是业务恢复数据完整性的指标。对于公司来说,就是允许我们重要业务丢失多长时间的数据。
图4-9 业务影响分析实施流程
国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988—2007)附录C RTO/RPO与灾难恢复能力等级的关系,如表4-2所示。
表4-2 RTO/RPO与灾难恢复能力等级的关系
同时,通过收集和分析人民银行、银监会等监管机构发布的监管要求,得出银行业重要系统RTO和RPO的最低要求,其他金融企业可以参照执行,如表4-3所示。
表4-3 RTO和RPO监管要求
1)实施前内部方案讨论,确定RA的范围和实施方式。
·参与范围:重要业务归属部门、数据中心、各一级分支机构(业务和IT)。
·评估对象:重要业务、总部IT运营、分支机构业务运营整体、分支机构IT运营等。
·实施方式:现场、非现场沟通和培训/问卷调研分析等。
2)RA调研问卷设计。根据业务和IT特点,结合评估对象差异性,有针对性地设计调研问卷和调研方式。
3)RA试点反馈,优化问卷。选择几家总部部门、分支机构作为RA工作的试点,根据试点情况反馈调整整体实施方案和优化调研问卷。
4)全面启动RA工作。确定方案和问卷后统一组织总部各部门、各分支机构开展RA工作。
5)分析整理,撰写报告。各分支机构根据各自RA结果,撰写分支机构RA报告;总部根据各部门反馈撰写总部评估报告。再综合总部和分支机构RA报告完成企业RA报告。
RA注意事项如下:
·BCM风险评估关注点。各类风险对于业务或IT系统运营的中断威胁,而非经济损失。
·BCM评估问卷。问卷只是工具,问卷上评估对象、可能性和影响打分规则、影响类别、威胁、高中低风险划分,都可以根据机构实际情况、风险偏好等进行客户化调整。
·BCM评估核心。核心在于针对评估的中、高级风险制订管控措施,不需大而全的措施,但要保障措施的可实施性,改进周期可自定,但不建议超一年,在下次RA时可分析措施的有效性。
业务连续性计划(Business Continuity Plan,BCP),是一种策略规划,当灾难发生致使组织关键业务或服务中断时,BCP可以指导迅速恢复关键业务的正常与持续运作。BCP是组织在实施BCM过程中的产出物,并在BCM过程中不断更新和完善。银监会监管指引要求BCP主要内容应包括:重要业务及关联关系、业务恢复优先次序;重要业务运营所需关键资源;应急指挥和危机通讯程序;各类预案以及预案维护、管理要求;残余风险。
总体应急预案,是商业银行应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系,及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。
重要业务专项应急预案,应当注重灾难场景的设计,明确在不同场景下的应急流程和措施。业务条线的专项应急预案,应当注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效衔接。
业务连续性计划的主要内容应当包括:
·重要业务及关联关系、业务恢复优先次序。
·重要业务运营所需关键资源。
·应急指挥和危机通信程序。
·各类预案以及预案维护、管理要求。
·残余风险。
专项应急预案的主要内容应当包括:
·应急组织架构及各部门、人员在预案中的角色、权限、职责分工。
·信息传递路径和方式。
·运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等。
·运营中断事件处置过程中的风险控制措施。
·运营中断事件的危机处理机制。
·运营中断事件的内部沟通机制和联系方式。
·运营中断事件的外部沟通机制和联系方式。
·应急完成后的还原机制。
演练的目的如下:
·检验应急预案的完整性、可操作性和有效性。
·验证业务连续性资源的可用性。资源包括人员、IT系统、IT灾备中心、办公和业务场地、基础公共资源、指挥中心、办公及业务开展所需的其他资源等。
·提高运营中断事件综合处置能力。
·提高应急参与人员处置能力、熟悉处置流程、提高全员应急意识、提高应对信心。
监管要求包括:《商业银行业务连续性监管指引》(银监发〔2011〕104号)第五章规定,业务连续性计划演练中,对演练计划的制订、重要业务演练周期、演练时间点、演练重点(业务和IT配合、IT系统接管能力)、演练参与者(外部供应商要求)、外部机构演练、演练的记录、总结、评估、改进等都提出要求。
演练方式如下。
桌面演练(说):
·熟悉处置流程。
·检查角色分工。
·检查计划内容。
·为实战演练准备。
·场景简单。
实战演练(做):
·真实资源调配。
·真实系统切换。
·真实场地转移。
·全方位检验应急处置的有效性。
·场景复杂。
持续改进包括以下工作内容:
·每年需要针对业务连续性管理体系的完整性、合理性、有效性组织一次自评估,或者委托第三方机构进行评估,并向高管层提交评估报告。
·每年需要针对业务连续性管理文档进行修订,修订内容包括重要业务调整、制度调整、岗位职责与人员调整等,确保文档的真实性、有效性。
·开发新产品时,应同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制订业务连续性计划并实施演练。
·在业务功能或关键资源发生重大变更时,应当及时对业务连续性相关文档进行修订。
·每三年进行一次业务连续性管理的专项审计,在发生大范围业务运营中断事件后也要及时开展专项审计。
有部分企业采用了业务连续性管理系统(BCMS),进行业务连续性日常管理,也取得了不错的效果。
DRI International(DRII)成立于1988年。其使命是通过提供教育和帮助,以及发布标准的基础资源,来推广业务连续性规划和灾难恢复行业的通用知识体系;协助建立公共和私营机构之间的合作,来推广相关行业标准;通过对业务持续领域的专业人员进行认证,来提高获认证人员的可信度和专业技能。
有关DRI International的更多信息见: http://www.drii.org 。
DRI中国技术委员会(DRI China Technical Committee,DRICTC)是DRI China的核心机构,其宗旨是为DRI China的发展提供组织建设、战略规划等方面的建议和决策支持,帮助DRI China推进BCM、突发公共事件应急管理(Emergency Management,EM)以及IT信息系统灾难恢复(Disaster Recovery,DR)在中国的发展,建立和完善相关行业标准,解决应用实践中的问题,跟踪国内外BCM的发展趋势,促进BCM向科学化、专业化、规范化和国际化方向发展;协助DRI China在中国培养更多符合国际标准的BCM人才;为国内外BCM专业人士、管理人员、政府主管部门、学术机构及厂商,搭建行业内外信息沟通与交流平台,促进相互合作,共同推进中国各行业BCM的应用和发展;提高中国政府和企业高层管理者对于防范及应对风险的认识和管理水平,增强其抵御灾难并持续发展的能力。
DRI中国技术委员会的性质是以政府、金融、保险、证券、电信、交通、能源等DR,EM,BCM的主管,以及该领域的专家、学者等自愿组成的学术性、公益性、非营利性组织。
有关DRI中国技术委员会的更多信息见: http://www.drichina.org/ 。
有关业务连续性管理的国际认证,认可度较高的是DRI International组织维护的国际认证体系,一共有以下四种。
·MBCP(Master Business Continuity Professional)—DRI国际认证的最高级别,专门用于在业务连续性/灾难恢复行业具有高级知识和技能的个人。该认证是针对具有至少五年行业经验的个人。
·CBCP(Certified Business Continuity Professional)—CBCP认证要求:1)在业务连续性/灾难恢复行业拥有丰富知识和工作经验的人员;2)该级别需要超过两年的经验;3)申请人必须能够在专业实践的五个主题领域中展示具体和实际的经验。
·CFCP(Certified Functional Continuity Professional)—CFCP认证级别,适用于在业务连续性/灾难恢复行业具有知识和工作经验的个人。该级别需要超过两年的经验。申请人必须能够在专业实践的三个主题领域中展示具体的实践经验。
·ABCP(Associate Business Continuity Professional)—ABCP级别,适用于行业经验少于两年的个人,对业务连续性管理知识最少且已成功通过资格考试的人员。
中国申请较多的BCM国际认证证书是CBCP由DRII为需要获得DRII国际标准资格认证的人员而设计的课程。
近年来,各金融机构处于业务快速发展时期,产品不断丰富,开发需求持续增长,对研发产能需求很大,合理利用外包可以一定程度上减小自身队伍快速膨胀带来的人力资源波动风险,有效利用市场资源。同时通过引入外部公司资源,获取IT服务提供商的先进经验,提升自身科技队伍的管理及创新水平。但与此同时带来了一系列外包管理风险。“工作可以外包,责任不能外包”,已成为监管层的明确要求。
有关外包管理详细内容见第7章外包安全管理。
各金融机构基本都在全国各地分布着一些分支机构,比如银行和证券公司。分支机构的规模都比较大,有的分支机构还有一定规模的信息技术部门。分支机构的IT风险管理也是重要内容。
分支机构的管理内容包括:
·合规管理。明确分支机构需遵守的IT制度,并进行全覆盖的检查,检查可以是远程与现场相结合的方式进行。合规检查情况纳入当年度分支机构考核。
·事件管理和问题管理。分支机构发生可用性事件和安全事件时,进行事件调查和处理。相关改进措施纳入问题管理跟踪督促。
·项目推广。每年总部会有一些重点工作,需要分支机构落实,放入项目推广工作中。
·人才培养。建立分支机构IT人才的认证模型,进行专业培训和认证考试,科学评价各分支机构岗位人才胜任情况。
有效措施包括:
·建立定期会议机制。比如季度分支机构IT工作例会,全体分支机构IT负责人和骨干参加。年度分支机构IT工作会议,通报各分支机构IT工作全年情况,表彰先进,督促后进。
·建立分支机构评级机制。分支机构根据规模大小分成ABC三类,同一类之间进行科技评级,通过评级机制,将改进优化的一些非合规类要求给到分支机构,相比检查更有利于分支机构主动开展IT建设工作,评级注重的是未来持续发展能力。
·开展分支机构检查并全覆盖,确保分支机构管理要求落地。检查可以采用现场检查和非现场检查相结合;计划内检查和飞行检查相结合;对标类检查和技术类检查相结合等方式。
为了让读者对信息科技风险库有直观清晰的认识,参照银监会《商业银行信息科技风险管理指引》的框架,给出了一份信息科技风险库示例,如表4-4所示,这个示例只列举了一级和二级领域。
表4-4 信息科技风险库示例
信息科技风险库很重要的一个输入是,业界和企业内部历史上曾经发生的信息科技风险事件案例,以及监管机构发布的风险提示、披露的行业信息科技风险事件。将内部过往信息科技风险事件提炼成风险库,并作为信息科技风险管理的重点,在风险监测和防控、监督检查等方面重点关注,争取做到历史事件免疫。
金融行业是牌照行业,接受严格的监管,合规是金融企业的底线和最低要求。本章详细地讲述内控合规的方方面面。IT内控合规是广义信息安全的一部分,是管理体系中很重要的一环,金融企业做好IT内控合规管理建设,需要建立一套外规对内规、内规对检查、检查对整改、整改对考核的闭环管理体系。
金融企业的信息安全管理是一项综合性极强的工作,既包括信息科技治理架构、信息科技合规建设、信息安全管理体系等安全管理类工作,又包括安全运营、安全攻防对抗、安全态势感知等技术性工作。随着信息安全技术发展日新月异,各种攻击手段层出不穷,而且由于金融行业面临的攻击具有获利高、影响广、危害大等特点,金融行业信息安全管理的要求日趋精细,对信息安全团队的基础能力、学习能力、创新能力都提出了巨大的挑战。信息安全工作的完成是虚有其表,还是卓有成效,最核心的决定因素在于是否建立起一支懂管理、精技术、基本功扎实、战斗力强劲的信息安全团队。
大力加强信息安全团队建设,培养信息安全专业人才,在金融业信息安全防控工作中具有举足轻重的作用。
这个互联网上曾经红极一时的漫画(如图5-1所示),非常生动形象地反映了信息安全团队的痛点,其核心词就是“背锅”。虽然网络漫画有失偏颇和略显夸张,但真实反映了信息安全团队成员价值感缺乏、压力巨大的现实情况。
对于金融企业来说,信息安全工作非常重要,这是任何一个金融行业的董事会和高管层都不容忽视的领域。尽管所有金融企业都会将信息安全作为重要工作对待,基于信息安全工作与生俱来的特点,金融企业信息安全团队仍然摆脱不了整个行业的“宿命”。概括来说,金融企业信息安全团队主要存在以下几方面的痛点。
首先,对于金融企业来说,信息科技是“后台部门”,而信息安全工作是“后台中的后台”。信息科技工作是为前中台部门服务的,在业务发展良好的时候,信息科技工作往往并不会有很大的存在感,最多在“功劳簿”中算上一笔(辅助作用)。而一旦因为信息科技风险事件影响到业务正常开展,甚或仅仅是某些系统的客户体验不好、用户操作不方便、功能不完善等造成业务使用的困难,信息科技就很容易成为“众矢之的”。而信息安全工作,更是可谓“后台中的后台”,在信息科技工作的“主流程”中很难排上位置,通常与综合管理、商务管理等一起被归入信息科技的辅助支撑性职能中。
图5-1 信息安全痛点的形象描述
对于信息安全团队来说,如何体现对科技工作的价值,进而体现对业务的价值,是一个亟待破解的难题。另一方面,对于信息科技部门的其他团队来说,信息安全团队就是不停地提要求、做检查、当监工、找漏洞,却往往不是最后的执行人。所以信息安全团队总有点“吃力不讨好”,经常面临误解、抵触甚至冲突,承受着巨大的压力。
其次,信息安全工作,核心职能是“踩刹车”而不是“踩油门”。信息安全工作,是考虑正常流程之外的风险控制措施,就是充分考虑可能出现的漏洞、异常,并且采取加强型措施来规避。但信息安全天生与客户体验是“背道而驰”的。例如,金融企业最常见的身份认证措施,如果要安全,就至少需要双因素认证,而且至少需要两类的双因素,通常一笔转账,就需要账户密码、短信两个因素。这必然需要客户更多的操作步骤。而如果只做一个因素的认证,客户操作方便了许多,但是却容易出现密码被盗取、撞库攻击或者短信被木马拦截从而泄露的情况。所以,为了快速响应业务需求,在信息系统开发的生命周期中,优先考虑的是系统功能如何最快速实现、客户体验如何最大程度优化,而在安全措施方面需要做一些牺牲或让步。这个时候,信息安全团队需要“冒天下之大不韪”地挺身而出,做“唱白脸”的人,在需求阶段就提出安全要求,在设计和开发阶段落实安全要求,在测试阶段验证安全要求落地情况,在投产后还要孜孜不倦地检查确保安全要求达到,在碰到安全事件时再次复盘,排查此前考虑的缺漏,从而实现螺旋上升。这些措施,对于业务来说,除了增加各类限制这种“阻碍业务发展”的措施外,几乎看不到安全团队的价值。业务跟信息安全团队的接触,除了就是否“踩刹车”而PK之外,几乎没有其他可以遇上的机会。而一旦没有坚持安全的底线,在漏洞真正被利用的时候,安全团队除了“背锅”,似乎别无选择。
再次,信息安全工作往往实施周期长,动辄需要几个月、半年,甚至一年的实施周期,所以效果需要很长时间的积累才能显现出来。例如,信息安全风险监测,指标设立后需要非常长时间的数据积累才能分析出结果;安全工具的实施,只是万里长征走完了第一步,后续的策略维护和日常运营,才是真正见功夫和水平的,需要很长一段时间的细心监测、数据分析和策略调优,才能发挥效果。信息安全团队,必须秉承工匠精神,一步一步、耐心细致地做好每一个日常的规定动作,才能确保不出问题。但这些幕后的工作,确实很难走上前台,被领导、业务部门甚至本部门的人员所看到、理解和接受,因此安全团队强烈缺乏存在感。
金融企业的信息安全人员,普遍存在难以找到个人价值感和成就感,甚至默默无闻没有存在感的情况,很容易丧失目标,找不到方向,从而难以实现自我价值和突破,需要有人帮助信息安全团队形成自己的价值体系,实现“专业自信”,方可打开向上的进步空间。
对于金融企业的信息科技工作来说,信息系统建设是最能实现投入产出比的工作,所以大量的科技投入都放在系统开发部门。衡量开发工作的指标比较容易设置,例如,投产计划达成率、应用系统故障率等,甚至部分业务系统可以用新增客户数、新增用户数、存贷款量以及利润值等指标来衡量。
生产运行所必备的基础设施建设和稳定运行所必备的监控、审计等相关支撑类系统建设及维保服务,也让运维工作的投入可以占到一定的比例。通常可以用事件或故障数量、运维工单数量等来衡量运行工作的绩效。
但是信息安全工作相对来说就比较难得到大手笔的投入,通常能在信息科技投入中占比5%就相当不错了。因为在高层领导看来,信息安全工作就像个无底洞,投入很多却难以见效,安全工作的价值难以量化和表现。例如,金融企业信息安全工作的目标是防控风险,防止漏洞被利用而产生实际的经济或非经济损失。但是,如果信息安全工作做到极致,没有发生任何的风险或者没有出现任何的信息安全事件,往往被认为“运气好”或者“没被坏人盯上”。而万一一个风险事件成为现实,可能一切归零,之前的所有安全工作都被否定。因此,信息科技风险的产生和安全攻击事件经常是“碰运气”的结果而非安全工作可以完全避免的,导致信息安全工作的绩效难以得到相对公正的衡量。
此外,安全工作通常会被认为比较“虚”,难以直接看到效果,往往只能具体到每个月或者每周做了什么,如做风险防控、做策略优化、做安全检查、做整改督办,但是领导只看到你在做检查、做整改督办、做安全工具维护,而具体化解了多少个风险,堵住了多少次攻击,是运气好没被盯上还是自己篱笆扎得紧,却是难以评估和量化的。所以,安全团队的绩效,领导通常很难看到,也很难用一些量化的指标去向领导展现和报告。
信息安全团队的天职就是化解风险,可以说每天面对的就是各种各样的风险,所以信息安全人员很容易形成“职业病”,例如,有“工作洁癖”,看谁都像坏人,或者习惯性地对任何东西都形成备份等。
但是所谓“道高一尺,魔高一丈”,信息安全人员再高明,日常工作再认真细致,还是会滞后于黑产的发展,滞后于风险的暴露。所以尽管信息安全工作一再强调“风险前移”,但事实上绝大多数的风险,都是在事后才被发现。真正能做到事前、事中控制和化解的,毕竟是少数。因此,信息安全人员很多时间都是在扮演“救火队员”,都处于一种紧张、焦虑的状态。特别是金融企业信息安全人员,一着不慎,有可能面临的就是客户信息泄露、资金损失这样严重的事件,所以金融企业信息安全人员面临的风险压力是非常之大的。
我国普通高校的信息安全专业设立才不过区区数年时间,以前都是由计算机这个大学科背景的人员从事信息安全工作,密码学原理、攻防基础等课程,并没有成为信息安全人员的“标配”。很多的信息安全人员都是从具备一点点计算机知识开始,逐步通过自学知识、掌握工具、泡论坛学习交流以及血淋淋的案例教训等方式,慢慢成长起来的。
金融企业的信息安全人员,处理的信息安全问题大到信息科技治理、信息科技战略规划,小到具体的安全指标监测、安全事件处置、安全防控策略调优等,工作覆盖面广,接触信息量大,因此,除了具备安全专业知识外,还必须掌握金融领域的业务知识,同时必须了解安全企业的开发、运行等工作特点,才能从各个角度全方位地做好安全防控,应对针对网络、系统、应用、终端等各方面漏洞的攻击风险。
所以,要既具备信息安全基础知识,又了解金融领域业务知识,还能对开发、运行的工作有所精通,这样的人才是稀缺的,往往是从某一个领域入手,逐步培养和转化而来。
职业规划对个人的重要性不言自明,有职业规划意味着有目标,有目标意味着有动力,有动力才能不断前进。因此,职业规划对于一个人的事业成败,起着决定性的影响。
对于金融企业的信息安全人员来说,要做好职业规划绝非易事。因为做任何一个职业规划,最重要的因素就是“天花板”在哪里,这个“天花板”决定了团队成员努力的最高目标。金融企业的信息安全虽然相对于其他行业来说很重要,也得到了更多的重视,但是通常都没有专门设置CSO(首席安全官),因此信息安全人员的“天花板”基本上就是信息安全团队的主管(如银行业的信息安全处室负责人,证券行业的安全总监等)。信息安全团队的规模,在大型金融企业中可以达到十余人至数十人之众,但中小型金融企业其规模往往不会超过十人,信息安全团队主管的权限范围较难扩大。且由于信息安全并非信息科技工作的“主营业务”,信息安全团队主管对业务、信息系统和生产运维工作的了解掌握往往难以深入,因此继续升迁至部门负责人、CIO的机会微乎其微。
在这种情况下,金融企业信息安全团队成员的职业规划空间就较为狭窄。通常是一部分人走安全管理路线,一部分人走安全技术路线,其中的脱颖而出者就走至安全团队负责人。因此,团队中拥有更大抱负的佼佼者,往往会想办法离开安全团队,走向更贴近业务、更贴近市场的开发、运行条线,以谋求更大的发展空间。
要解决信息安全团队的普遍“痛点”,需要从信息安全团队面临的企业宏观环境着手分析,从信息安全文化建设、信息安全团队意识建设、信息安全团队能力建设、信息安全绩效指标体系建设等几方面多管齐下,从而打造一个责任心强、有组织有纪律、富有战斗力的团队。
信息安全团队不是孤立存在的,信息安全的价值体现在对业务、对企业发展的价值。因此,信息安全团队的“痛点”,也必须放在金融企业宏观环境这个大格局中,先从分析团队面临的环境入手,才能真正有效地化解矛盾,解决问题。
要建立一支具有优良作风和专业水平的信息安全团队,需要先确立团队自身的相对独立的使命、愿景和价值观,这是信息安全团队全体成员共同遵守的准则和纲领,必须贯彻到每一个信息安全团队成员,并时常学习、互相提醒以刷出“存在感”。
金融企业的使命是服务客户,服务经济。信息安全作为支撑性工作,是为金融企业的业务和管理目标保驾护航的,因此信息安全的使命、愿景和价值观,必须遵从整个金融企业的使命、愿景和价值观。
不管采用哪一种使命、愿景和价值观,信息安全必须服从金融企业战略管理需要,为了实现业务战略目标而存在,不能为了安全而安全。信息安全工作是一个循序渐进、螺旋上升的过程,信息科技风险无处不在,信息安全建设永无止境,不管是大型金融机构的年均投入几个亿,还是中小型金融机构的几十万到几百万,不管是大型金融机构信息安全团队的十几至几十人,还是中小型金融机构的几个至十几个人,都不能堵住所有的风险漏洞,无法保证绝对的安全。信息安全工作,永远都是在做效益和风险的平衡和博弈,只能用尽可能小的代价,做尽可能少的事情,来实现相对最大的安全防控效果。
信息安全团队建设,是信息安全战略的重要组成部分。信息安全战略需要遵从信息科技战略,而信息科技战略需要遵从企业战略。因此,需要首先从企业业务战略目标推导出对信息科技工作的要求,从而制定信息科技战略;然后从信息科技战略分解出信息安全战略目标,从信息安全战略目标再推导出信息安全团队建设目标。
根据金融企业的传统做法,通常会选择相对稳健的业务战略风格,对信息科技架构、信息安全战略的要求也会相对传统、稳健,信息安全团队以合规、风险控制为目标,先期会将重点放在满足监管要求、部署传统安全工具、防御外部攻击等工作上。
而现在传统金融企业纷纷进入转型期,积极拥抱互联网特别是移动互联网,通常会特别重视互联网金融建设,相应的科技战略、科技组织架构会有很多适应互联网金融时代灵活、多变、可扩展性强的特征,对信息安全工作也就有着与此相适应的要求。信息安全团队的工作更侧重于云安全、大数据安全、物联网安全、人工智能安全等方面。
(1)企业风险偏好与企业发展周期息息相关
根据企业生命周期理论,企业的发展与成长的动态轨迹包括发展、成长、成熟、衰退几个阶段,处于不同生命周期阶段的企业将会建立与其特点相适应、并能不断促其发展延续的特定组织结构形式,使得企业可以从内部管理方面找到一个相对较优的模式来保持企业的发展能力,在每个生命周期阶段内充分发挥特色优势,进而延长企业的生命周期,帮助企业实现自身的可持续发展。在不同阶段的企业会有不同的风险偏好,也就意味着需要不同的信息安全建设目标和管控水平。信息安全建设,需要与企业不同生命周期的风险偏好相适应,才能更好地起到保驾护航的作用。
在金融企业建设初期,面临严重的业绩压力,发展是第一要务,通常会采用“进攻型”的战略,对于风险的接受程度相对较高,信息安全建设往往被放到不那么重要的位置,此时信息安全团队的数量和质量均会偏弱,甚至是由一个人兼职完成,相应的信息安全建设将主要以“合规”为第一目标,立足于达到监管要求这一最底线要求。
随着金融企业建设的成长,通常由“进攻型”向“防御型”战略转变,以使企业在战略期内所期望达到的经营状况基本保持在战略起点的范围和水平。相对应的,此时风险偏好会偏向于“平衡”,信息安全队伍逐步壮大,往往能建立起一支由几个人组成的信息安全团队。而且由于此时企业知名度日渐上升,受到的外部攻击威胁与日俱增(例如,仿冒的钓鱼网站多了起来,外部监测网站披露的漏洞也多了起来),此时的安全团队除了满足监管要求外,需要建立起一定的安全攻防能力,安全团队中将分出1~2人来专职负责安全技术防控工作。
企业建设的成熟阶段,通常采用更为稳健的策略,对风险的接受程度更低,对安全合规和风险控制的要求更高,面临的攻击风险和声誉风险更大。此时的安全团队需要更加壮大,安全管理和安全技术并重,“两手抓、两手都要硬”。
企业建设的衰退阶段,可能会采用“紧缩型”战略,此时的安全重点是“不出事”,由于投入的减少,安全团队建设逐步开始萎缩,又回到“满足监管要求”的原始阶段。
(2)企业风险偏好,与企业的性质和管理风格相关
金融企业是经营风险的企业,同时也是风险集中的企业,更是将风险防范作为头等大事的企业,在风险防控方面有着特殊的需求。但不同性质和管理风格的金融机构,其风险偏好也会大不一样。
对于风险规避型的金融机构,当预期收益率相同时,偏好那些具有低风险的解决方案,对于风险控制与合规性的要求更高,因此对于信息安全工作的重视程度和落地要求就相对高一些,安全团队建设也会处于扩张的状态。
对于风险追求型的金融机构,当预期收益相同时,会选择风险较大的方案,因为“高风险高收益”,能给他们带来更大的效用。这一类金融机构对于合规建设的重视程度相对偏弱,信息安全工作目标通常仅仅定为“不出事”,基本满足监管要求即可,安全团队建设会受到限制。
近年来,随着移动互联网、物联网、云计算、大数据、区块链、人工智能等金融科技新技术的广泛应用,传统金融机构在各个层面的运行模式被相继改变:移动互联网的快速普及大幅改变了用户的行为习惯,云计算和物联网改变了业务处理和基础设施部署的方式,大数据技术改变了营销模式、风控模式和决策模式,人工智能等技术改变了客户服务和运营模式,区块链重塑了交易流程和信任模式。精准识别用户需求,提供极致用户体验,成为金融科技时代业务发展的首要驱动因素。
随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,以适应激烈的市场竞争需要。伴生于信息科技建设的信息科技风险管理工作也面临着新形势下的新问题,现有的信息安全防控体系面临防范不足、失当甚至失效的风险。而且,信息安全防御手段的发展往往滞后于信息科技的发展。在新的科技创新形势和新技术层出不穷的环境下,新技术风险的暴露以及随之而来的攻击手段创新,给信息安全风险防范带来了前所未有的压力和挑战。
因此,信息安全团队建设,必须着眼未来、立足长远,必须打造学习型组织,提高员工学习意愿,激发学习潜力,才能与时俱进地学习新知识和新技术,才能更准确、更有效地识别新形势下的新风险,才能更精准地应对风险,从而适应不断变化的内外部环境,实现更有效的风险防范。
“企业文化就是企业发展的DNA”,信息安全团队文化建设就是信息安全团队建设的DNA。文化建设就像一根纽带,把团队每一名成员的个人价值观和奋斗目标,与团队的价值观和整体目标紧密联系在一起,促使每个成员产生强烈的归属感和荣誉感,最大程度地激发每个成员的积极性和创造性,从而使他们能发挥最大的主观能动性,创造出最大的价值,实现团队整体合力最大化。
金融企业信息安全团队的文化,必须针对金融企业信息安全工作普遍面临的问题点和“痛点”,结合宏观环境而制定,必须取得团队的认同感,对团队成员有实实在在的凝聚和激励作用。信息安全团队文化,需要遵循“仰望星空,脚踏实地”的原则,既要有相对宏伟、虚化的愿景性文化,也需要有相对微观、接地气的写实性文化。虽然不同的信息安全团队会基于各自的特点来开展文化建设,但以下几点“普适性”的文化,可供信息安全文化建设时参考。
在西方,这样一个故事广为流传:三个泥水匠同时盖一座教堂。有人问了这三个人同样的两个问题:
·为什么干这个工作?
·你干的是什么样的工作?
第一个人愁眉苦脸地回答说:“还能为什么?不干活就没有面包吃!不就是把这堵墙砌好吗?还能是什么工作?”
第二个人面无表情地说:“我是干泥水匠的,这是我的职业,我已经干20年了,这个城市几乎每间房子我都知道是怎么盖起来的。”
第三位泥水匠面带微笑地回答:“我当然知道为什么干这工作,我正在盖这个城里最大的一座教堂,而且我是在盖教堂的正门部分,这是多么重要,以后每个来做礼拜的人都会看到我做的工作。”
相信很多人都听说过这个故事,也都知道这个故事其实到这里并没有讲完。很多讲故事的人会接着讲这三个人后来的人生成就相差之大:十年之后,第一个泥水匠手艺毫无长进,被老板炒了鱿鱼;第二个泥水匠勉强保住了自己的饭碗,但只是普普通通的泥水匠;第三个泥水匠却成了著名的建筑师。
这三个泥水匠的根本差别在哪里?大家都知道,最主要的差别绝对不是做泥水匠的经验或者技能,而是在于格局。第三个泥水匠的格局显然比前面两个泥水匠要大很多,所以他看到的不是眼前的一砖一瓦,而是未来大教堂的宏伟蓝图。由于格局不一样,对目标的理解不一样,导致工作的出发点不一样,自身能发挥出的潜力不一样,最后每个人的结局自然也不一样。
作为信息安全从业人员,也同样需要提升自己的格局,方可成就一番事业。对于每天从事的工作,我们也有三种选择:一是把它看作养家糊口、不得已而为之的生计,“做一天和尚撞一天钟”;二是把它看作一项赖以生存的职业,只顾做好眼前的具体工作,“不求有功、但求无过”;三是看到它对企业战略落地、业务发展、科技工作、内外部客户保驾护航的重要价值,发自内心地热爱,充满激情地努力,“呕心沥血,孜孜以求”,最终推动价值的落地实现。显然,我们必须选择第三种。因为格局不一样,所以思考目标的时候,会把个人工作和企业目标关联起来,从企业价值的角度看待自己的发展。
格局不同,境界不同,达到的效果自然大相径庭。上述第三种格局,能让我们实现以下的效果:
·指导团队在制订目标时,更具有大局观,脱离自己的“框框”,打破自己的边界,看得更高、更远、更深。
·指导团队在完成具体任务时,习惯性地“以终为始”,凡事以目标为导向,在不能实现目标的时候及时调整方法,而非机械地执行规定动作,最终导致目标“谬以千里”。
·在团队遇到困难的时候,仍然保持坚忍不拔,在遭受非难的时候,仍然坚持砥砺前行,不因环境不利而消极抱怨,不因能力不足而妄自菲薄。
·在与其他团队协作的时候,以大集体、大团队的目标为先,突破小团队的局限,从而更好地互惠合作,实现企业的整体目标。
·带动团队开阔眼界,放开胸怀,多经历、多吸收、多学习,想办法多走出去,与同业、对手、合作伙伴更多地交流,吐故纳新,扬长避短,从而推动格局和视野的螺旋上升,形成良性循环。
信息安全团队通常都自嘲为“背锅侠”,功劳没有,苦劳一堆,没事的时候默默无闻,出事的时候首当其冲。当然,这是信息安全工作的“宿命”,作为信息安全团队的一员,必须首先从心底接受这一点,必须“认命”,因为信息安全的使命,本身就不是直接创造价值的。
因此,信息安全团队必须要树立良好的心态,从心底认同自己在金融企业中的价值,并且为了实现自己的价值而孜孜不倦。这样就不会完全被外界的评价而左右,才能尊重自己内心的呼唤,踏踏实实地做好基础性的工作,不好高骛远,不贪多求快。
大家都要认识到,信息安全团队的价值可以体现在很多个层面:
一是从国家、社会的宏观层面来讲,成立了网络安全和信息化领导小组,发布了《网络安全法》,说明在国家层面对于网络安全和信息安全的高度重视和极大关注,网络安全已经成为关系到国计民生的大事。网络技术除了给人们的生活带来种种方便外,同时也为网络上的攻击、诈骗、侵权、窃密等事件,以及网络上的造谣传谣、涉黄赌毒乃至利用网络传播暴力恐怖有害信息等等提供了便利条件。网络攻击和网络窃密事件层出不穷,匿名者(Anonymous)、蜥蜴小组(LIZARD SQUAD)等黑客组织对商业机构的攻击时有发生,社会上的黑产黑客时刻虎视眈眈,都给国家和社会造成了很大的威胁。
一方面,金融是现代经济的核心,中国作为世界第二大经济体和重要的金融大国,金融安全是国家安全的重要组成部分。另一方面,金融与社会上的每个人息息相关,金融安全事关每个人“钱袋子”的安全,是社会稳定的重要保障。因此,金融企业的信息安全团队背负着极其重要的使命,必须时刻警惕、厉兵秣马、未雨绸缪,坚守岗位,为国家和社会的稳定贡献自己的力量。
二是从行业、企业的微观层面来讲,信息系统运行的稳定性直接关系到企业金融服务的稳定性,客户信息泄漏及其引发的网络诈骗事件可能造成资金的直接损失,如果出现网络攻击事件,可能引发客户的恐慌,导致舆情的风险,危害是极其严重的。
信息安全团队通过自己的努力,保障信息科技工作的合法合规,保障信息系统的稳定运行,保障业务服务的连续和安全,保障客户的信息不被泄露,保护客户资金不遭受损失,维护金融企业的声誉。以上这些虽然不直接创造利润,但通过“合规创造价值”“安全保障创新”等保驾护航的手段,信息安全团队同样可以取得骄人的成绩,可以获得内外部客户的认可。作为信息安全团队的一员,既可以有很多的“小确幸”,也可以实现“大成就”。
金融企业的信息安全是一项涉及面很广但同时专业性很强的工作,保持专业水准,是信息安全团队自信的来源,是团队核心竞争力不可替代性的体现。因此,信息安全团队应该时刻思考,如何提升自己的专业能力,如何建立对工作、对自己的信心,满怀激情地将工作做到极致,才能使团队的价值最大化。
信息安全专业自信,不是盲目自大,首先必须要有真材实料,应该对整个安全形势有自己的判断,其次对信息安全行业和市场要有足够的了解。应该建立自己的知识结构:
·要有规划意识,构建信息安全的整体逻辑架构。信息安全涉及范围非常广泛,有宏观也有微观,有横向也有纵向,有管理也有技术,信息安全团队要明确自己的规划边界,思考如何建立一个合理的安全架构。
·要了解安全形势。从国际安全形势、国家安全政策、国内安全动态、安全监管方向、金融安全态势等角度出发,了解最新的安全趋势,方可及时调整自己的工作重点和风险防范重点。时刻把自己的工作代入到宏观大环境中思考,就可以跳出局限性的思维框架,更好地把握和防控关键风险。
·要了解整个金融行业和信息安全产业。一方面,要了解金融行业的监管政策、业务趋势、业务风险,思考信息安全工作如何围绕行业要求开展;另一方面,要了解信息安全垂直行业,对于行业的发展趋势、前沿技术要持续学习,才能为我所用。此外,还需要知道金融同业的安全防控情况,客户最关心的风险等,确保工作有的放矢。
·要深入学习掌握专业知识。攻击手段的不断进化推动了防御手段的持续调整,导致信息安全技术演进和发展很快,信息安全团队需要不断地吸收专业知识,时刻保持自己对最新的政策文件、攻防技术都心中有数。
·要多思考、多总结、多分析,形成逻辑框架和专业经验。需要摒弃被动的吸收,多一些主动的思考和沉淀,形成自己的专业逻辑框架,在框架内发现自己的短板,有针对性地补充新的知识,才能在专业的深度和广度上走得更远。
·要分清主次,抓住重点。金融企业信息安全面临的风险是非常多的,要力图解决每一个问题是不现实的,资源也不可能无限制投入。因此,要提高对关键风险、重要问题的判断能力,针对关键风险和重要问题要深入理解,多想多问为什么,思考每个问题背后的意义,深究每个风险背后的原因,各个击破,力求化解,切忌不求甚解、囫囵吞枣。如此以点带面,才能逐步提高整体专业水平。
综上所述,信息安全团队必须打造专业自信的文化,不给自己设框设限,要逃离自己的舒适区,开创更为广阔的天地。要对自己有严格的要求,实现两个“高于”的目标:高于领导的期望,高于领导的专业水平。
稻盛和夫在《活法》一书中,提到过这样一个故事:
他年轻的时候听过松下幸之助的一个演讲,松下幸之助演讲的内容是经营企业应该像水库蓄水一样,景气时要为不景气时做好准备,一定要保留一个后备力量。
那时松下幸之助的事业也刚刚起步,远没有后来的声望,很多人听了演讲之后,都不怎么满意。因为他们希望听到的是怎么让企业成功的经验,而不是企业如何在取得一定成功后做什么准备的话。因此,有人说:“说些什么呢?不正因为没有储备,大家才每天挥汗如雨,恶战苦斗的吗……我们想听的是如何去建造这个水库,而你再三强调水库的重要性,这有什么用呢?”有一个男士站起来质问:“如果能进行水库式管理当然好,但是,现实上不能。若不能告诉我们如何才可以进行水库式的经营,那不是白说吗?”
松下幸之助这时有些无奈,他停了一下说:“那种办法我也不知道,但我们必须要有不建水库就誓不罢休的决心。”
许多人哄堂大笑,但稻盛和夫却很有收获,并把这种不建水库就誓不罢休的决心应用到创业中,也许正是这种誓不罢休的精神,才有了他的成功。
从这个故事中,我们可以看到,一个“用心”的文化多么重要。只有先有“心”,才能把一切事情做好;只要有了“心”,就可以把一切事情做好。
对于信息安全团队来说,也必须先“用心”。“用心”的文化体现在很多方面:
·每个团队成员,都要把团队的目标作为自己的目标,凡事从目标出发,不停地思考实现目标的方法,寻找各种对策来实现目标。例如,信息安全团队的目标是发现并化解信息科技风险,一旦树立了这个目标,就会通过各种检查、整改等管理手段,以及各种各样的安全技术防控手段来提前发现风险,并采取各种降低、规避、转移的方式来化解风险。
·每个团队成员,都会自发地工作,主动把事情“做好”而非仅仅“做完”。团队领导考虑问题不一定非常全面,交代任务时也不一定能事无巨细地讲透每一个细节,这时就需要每个团队成员主动思考、互相补位,才可以形成强大的合力,推动目标更好地达成。
·每个团员成员,碰到困难时会迎难而上,出现问题时则会共同担当。由于大家都是非常用心地工作,在出现困难时,大家会一起想办法克服,用各种各样的手段去化解困难。
如稻盛和夫先生所说,“人哪里需要远离凡尘?工作场就是修炼精神的最佳场所,工作本身就是一种修行。只要每天努力工作,培养崇高的人格,美好人生也将唾手可得”。如果信息安全团队的每一个成员,都把工作当作一种修行,认真对待工作,就可以把事情做到完美,让别人放心,这是一个很可贵的品质。对于团队来说,如果每个人都非常“用心”地工作,那将是团队的一笔宝贵财富。
在《习惯:习惯的力量》一书中提到,“没有什么比习惯的力量更强大”。习惯让我们“下意识”地行动,不用刻意思考即可遵循规范行事;让我们减少了考虑时间,简化了行动步骤,从而更有效率。
养成好的习惯远比具体完成任何一项工作都要重要。对于信息安全团队来说,需要养成以下几个好习惯:
一是计划的习惯。在工作中经常会碰到这样的情况,有些同事任务没有完成,当问及原因时,往往是“忘记了”或者“太忙了”。但怎样做到不忘记?最好的方法就是制订计划。每个人接到每项任务后的第一件事情就是制订计划,凡事必有计划,区别只是在于计划时间点的数量和时间的长短。“好记性不如烂笔头”,对每件事情都定下自己的下一个目标时间点,并把它记在本人的工作计划表或项目管理工具中,再每天/每周回顾计划表执行进展,就会不断提醒自己和别人,从而有条不紊、不遗漏地完成工作任务。
对于信息安全团队来说,计划主要分成四大类:
·例行性工作计划,例如,监管要求、制度要求中规定每天/每周/每月/每季/每年必须完成的工作任务。对于这类任务,需要在接收到监管要求后或者制度制定后就马上列入计划表,每年初回顾一下,是否需要根据监管要求或者制度规定对例行任务进行相应调整。
·专项工作计划,例如,某个信息安全技术实施项目(部署WAF、安全大数据分析项目等),或者某项安全管理类工作(通过ISO27001认证、制定××制度等),这些工作需要在每年初就确定工作目标,安排相应的预算和人力资源,并列入部门整体工作计划中。
·安全整改类工作计划,是针对在日常监管检查、审计或合规检查、风险评估、安全检查等工作中发现的风险的处置工作计划,这些计划需要在检查结果确认后马上制订对应的整改方案和完成时间表。
·突发性工作计划,例如,新颁发的监管要求需立即组织对照排查并提交报告;外部新披露的风险漏洞需对照检查和整改等,这些往往属于“重要而且紧急”的工作任务,在收到后需要第一时间明确完成的目标要求、需要调动的各方资源等,并立即推进完成。
无论是哪类计划,都需要明确完成时间、责任人、资源需求、配合工作方、工作提交件和完成标志等,然后纳入计划表中统一跟进直至最终“画上句号”。
二是敢于承诺和遵守承诺的习惯。金融企业信息安全团队的目标是防范和化解风险,为金融企业提供安全服务。信息安全团队必须敢于做出承诺,并想尽办法严格遵守承诺,树立“使命必达”的信念,才能博得领导或者其他团队的信任,有利于工作的开展。
·面对监管机构或者审计、风险、合规等部门发现的问题,信息安全团队要敢于代表信息科技部门给出限时整改的承诺。
·面对领导或其他团队给出的工作要求,要敢于承诺完成时间和目标,并不折不扣地达成目标。
·对于信息安全团队检查发现的问题,要敢于督促其他团队制订整改计划并给出完成计划的承诺,监督承诺的执行。
三是高效处理邮件的习惯。信息安全工作与很多工作都有关联,每个人每天都会收到大量的邮件,其中有些是阅知即可的,有些是要重点看并执行的,有些是收到后立即要处理的,有些是要花些时间才能完成处理的。人们每天都要花很多的时间来处理邮件,既导致时间碎片化而降低效率,又可能出现因邮件太多而使重要邮件没有及时处理。怎样才能高效地处理邮件,确保不遗漏待办事项,有几个小技巧可以参考:
·关闭邮件的“即时提醒”功能,每天安排固定的时间处理邮件(例如,每个上午的固定时间,下班前的半小时等),其他大片的时间专注于处理其他的专项工作。这样可以避免自己的工作思路总是被突如其来的邮件打断,保持专注力,从而提高工作效率。不用担心错过“特急”的工作任务,因为对于特急的事项都会通过电话提醒,这是一个大多数人都会遵守的职场习惯。
·对邮件要分类建立文件夹,例如,“已处理”文件夹,放置已经看过或已经处理完且以后不需要再看的邮件;“待参阅”文件夹,放置将来随时要执行的制度流程要求或者某些知识性的邮件,并将邮件标题修改为关键字的索引,方便今后查找和翻阅;“待处理”文件夹,放置自己要做且不能马上处理完、要制订后续计划的邮件,同时立即设置一条工作日历,提醒自己完成时间,并且在计划管理工具上立即建立一条对应任务,制订计划;“委办”文件夹,放置已经通知别人准备、自己到时候看结果的邮件,同时立即设置一条工作日历,提醒别人应该回复的时间,如果没有按时收到回复则立即督办。按照上述分类邮件后,收件箱中的内容就会变得很少,待办事项如果没处理完就会一直放着,每天下班前检索一次,不易遗漏。
·每封邮件只看一次,且当日事当日毕。很多人邮箱里积累着成百上千封的未读邮件,“冰冻三尺,非一日之寒”,这些绝对不是一夜之间堆积起来的,而是对待邮件“拖延症”的后果。如果总是想着“有时间再来处理”,那些没有读过的邮件就会永远在邮箱中保留下来。因此,每封邮件打开后都要马上处理,做出立即行动、转发他人完成、转成工作计划、阅知即可等判断,并且尽力在结束一天工作的时候,实现收件箱里空空如也的目标,确保当天的所有邮件都被妥当处理。这不是一个容易养成的习惯,但是却会带来极高的工作效率,以及每天下班后的踏实感。
·总结和创建邮件模板。根据信息安全工作性质,总结出若干个常用邮件模板,可以提高效率,避免重复劳动。例如,安全检查结果通报、安全整改工作督办、发现漏洞情况通报等,都可以积累形成模板。建立好模板库后,今后类似工作都可以从中搜索出结构相近、可重复利用的内容,大大缩短邮件创建的时间。
四是认真完成文档撰写的习惯。信息安全团队工作任务中很大一部分是“写报告”,如提交给监管机构的安全自查报告、提交给管理层的风险排查报告、提交给审计或合规部门的整改工作报告等,所以文档撰写能力非常重要。文档撰写要注意以下几点:
·力求逻辑严密。文字功底不是一朝一夕可以练就,但工作文档的逻辑却是有章可循的,可以通过技巧来实现“速成”。在文档撰写前必须先思考,用什么样的逻辑才能够清楚表达自己的思想,展现自己的工作成果;逻辑清晰后,先列出工作提纲,再补充“血肉”。麦肯锡国际管理咨询公司的咨询顾问巴巴拉·明托(Barbara Minto)编著的《金字塔原理》一书,对于文档的逻辑给出了非常好的定义和方法论的指导,其中特别提出MECE(Mutually Exclusive Collectively Exhaustive)的原则,中文意思是“相互独立,完全穷尽”,也就是对于一个重大的议题,要做到不重叠、不遗漏的分类,而且能够把握住问题的核心和关键点,非常值得在工作中参考借鉴。
·注意阅读对象。每一份文档、报告在构思和落笔前,先要问自己几个问题—文档的阅读对象是谁?需要让他/她关注或记住的几个要点是什么?需要他/她解决的问题是什么?信息安全团队报告的对象包括监管机构、行内董事会或高管层、审计或合规部门、部门领导、其他兄弟团队等,对于不同的阅读对象,信息披露的范围、风险描述的程度和方式都不一样,是“报告”还是“请示”,是“报喜”还是“报忧”,是要让对方对风险状况“放心”还是对风险严重程度引起“重视”,是要单刀直入讲问题还是先铺垫背景等,这些决定了行文的口气、内容选择、文档结构组织方式等关键要素,需要针对阅读对象以及想要解决的问题来组织逻辑和语言。
·避免低级错误。这是最容易犯的毛病,在日常工作中,大家总是会出现标点符号错误、错别字、语句不通顺、附件版本错等看似“低级”的错误,很多人都不重视,认为就是粗心而已,不影响大局。其实不然。所谓“见微知著”,细节做不好,反映的是态度有问题。试想,如果信息安全团队交出来的安全检查报告错字连篇,那安全检查本身,能让人相信是踏踏实实认认真真做的吗,质量和效果能得到保证吗?因此,需要养成习惯,每次邮件发出前或者提交文档前,自己从头到尾通读一遍,看看有没有错别字或用错的标点符号,语句是否通顺,邮件标题是否符合标准,附件是否是修改后的最终版本等。
综上,只要养成良好的工作习惯,脚踏实地、求真务实地做好当下的每一件事情,戒骄戒躁,把每一步的基础都夯实了,结果自然会水到渠成。
长期从事信息安全工作的人,由于与病毒、木马、漏洞、风险等经常打交道,会存在“职业病”,看到某些不合规、有风险的地方就会极其敏感、周身不自在。
例如,在工作中经常存在以下合规方面的错误意识:
·只要主观意愿和出发点是好的,违规一两次也情有可原。
·心存侥幸,不严格按照制度和操作规程一步步操作,而是认为只要没有被发现就算过关。
·以前都是这样做的,照做就是了,不用管合规不合规。
·效率至上,片面追求“快”,把事情做完就好,不合规也没关系。
·人情代替制度,领导要求的、其他兄弟团队想知道的、其他部门想知道的,即使制度不允许,告诉他们也没有关系。
·只要不违反大的制度流程就行了,个别的小细节没做到位也不算违规。
·个别流程找不到书面流程作为依据,那自己想怎么做就怎么做。
·虽然违反了制度流程要求,但是没有给企业造成损失,或者反而还帮企业节省了成本或费用,这种做法不违规。
上述现象,对于很多金融企业都是常见情况,对于很多人来说都习以为常,但对于“有洁癖”的安全团队来说,是不可容忍的,他们对上述情况会有很强的风险敏感性,会习惯性地对这些不合规的现象刨根究底、决不轻易放过。正是这种对每一个环节每一个细节都要求出色、完美,不忽视任何一个违规细节的习惯,才是信息安全团队的专业素养之一,才让信息安全团队与众不同,才让信息安全团队履行自己的使命和职责,尽全力去维护一个合规、干净的企业安全环境。
《易经·系辞》中有句话“形而上者谓之道,形而下者谓之器”,这是中国古代哲学的重要范畴,儒家哲学中无形的或未成形体的东西,与表示有形的或已成形的东西的对称。映射到信息安全领域,“道”与“器”,可以理解为精神和意识层面未成形的“道”,和技能、工具层面的“器”之间的相互呼应和对称。
对于信息安全团队来说,团队文化可以说是在整体层面的“道”,而团队的意识则是一种更具体化的“道”。以下几种意识,是信息安全团队需要特别注重培养的意识。
对于任何一个组织来说,满足客户需求都是首要和核心的任务。信息安全团队作为一个行使独立功能的“组织”,也同样需要满足客户的需求。参考管理大师彼得·德鲁克(Peter F.Drucker)的“经典五问”,信息安全团队需要反复地问自己这样几个问题:我们的使命是什么?我们的客户是谁?我们的客户重视什么?我们的成果是什么?我们的计划是什么?
这些问题的答案,必须围绕一个核心来找寻,即“客户”。只有先识别客户,然后分析客户的需求,才能确定团队的使命、工作目标和工作成果,进而才能有工作计划。
信息安全团队的客户,分为以下两大类:
一是行外客户。金融企业服务的所有客户,包括资产端、资金端、中间业务等业务的客户,都是信息安全团队需要服务的对象。信息安全工作,需要围绕如何保障客户资金安全、客户信息安全、客户服务能够正常提供等内容开展。通过设计合理的业务逻辑、采取严密的身份验证措施和交易验证措施、建立风险监测模型、部署安全防控工具、加强运维保障等手段,在尽量简化客户操作、优化客户体验的同时,向客户提供安全稳定的服务。
二是行内客户。从广义上看,行内的董事会和高管层,信息科技风险防范的第二第三道防线(合规、风险、审计等部门)、各管理部门和业务部门,信息科技部门的其他团队,都是信息安全团队的服务对象。信息安全工作,需要围绕合法合规、识别并化解风险等方面开展,通过监管要求对照达成、规章制度建设、信息安全管理体系建设、安全意识宣贯和培训等方式,主动地向行内客户披露风险,采取措施规避或降低风险,督促安全整改任务的完成,确保信息科技工作的安全合规。
不管是行内还是行外的客户,信息安全团队都需要在完成工作任务的时候心中时刻考虑这些客户的核心诉求,考虑如何做才能让客户满意度提升,如何主动开展工作才能帮助客户规避风险,如此方能有的放矢,措施行之有效。
正如俗语所说,“安全责任重于泰山”,金融企业的信息安全团队时刻与风险打交道,一个疏忽就可能导致风险无法被及时发现,一个放纵就可能导致风险无法得到及时的处置,而一个风险就可能导致客户重大的损失。在此环境下,信息安全团队每个成员的责任心就显得异常重要。
不管信息安全团队的成员负责的是整个安全规划的设计,还是某个安全制度的修订、安全技术策略的调整,都必须把责任意识放在极高的位置,把自己看成整个企业安全防控的责任人,对安全防控的整体结果负责,绝对不能“千里之堤,溃于蚁穴”。
有了责任意识,就会认真细致地制订方案计划,就会不放过任何一个风险隐患的蛛丝马迹,就会发现风险后立即承担责任并确保整改到位,就会遇到问题绝不退缩而是积极寻求解决方案,就会坚持学习了解新的安全动向并查漏补缺,就会努力调动一切资源来达成安全防控的目标。
信息安全团队是为金融企业客户安全保驾护航的“风险清道夫”,对于风险必须有最强的敏感性和最小的容忍度。“看不见的风险是最大的风险”,信息安全团队必须练就“火眼金睛”,先要识别风险,继而尽最大的努力化解风险。
关于信息安全事故、风险、隐患的存在与发展,有几个重要的理论和法则:
·“冰山理论”,冰山浮出水面的部分仅占总体积的十分之一左右,其余大部分深藏于水下。
·“海恩法则”,每一起严重的航空事故背后,必然有近29起轻微事故和300多起未遂事故先兆,以及1000起事故隐患。
·“墨菲定律”,如果坏事有可能发生,不管这种可能性多么小,它总会发生,并引起最大可能的损失。
从上述三条安全界的著名定律可以推导得出,真正令人害怕的,并不是已经发生的、可见的事故,而是更多潜藏的未知隐患和威胁。要避免发生严重的事故,就必须像轮船发现水面以下的冰山那样,提前发现事故隐患,并将其扼杀在萌芽状态。
因此,信息安全团队必须建立对风险的“敬畏之心”,不能把安全防控重点放在风险事件发生之后疲于奔命的应急处置,不应该总是担任“救火队员”,而应该将风险前移,将工作重心放在事前预防、事中控制,重点放在对尚未暴露的风险隐患的排查、发现和及时化解,做到未雨绸缪,心中有数,防患于未然。当然,如果风险事件万一真正发生了,也不要逃避,而是应该深入总结分析,查明根本原因,举一反三,落实整改措施,直至彻底解决。
随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,以适应激烈的市场竞争。伴生于信息科技建设的信息安全工作也在新形势下面临着新问题,现有的信息安全防控体系存在着防范不足、失当甚至失效的风险,传统的安全基础架构和安全技术工具在新形势下显得捉襟见肘,逐渐力不从心。
按照传统的安全思维和信息安全工作定位,信息安全的发展往往相对滞后于业务的快速创新和技术的高速发展。然而,在新的形势下,信息安全工作也必须与时俱进,信息安全团队必须树立创新意识,从创新中寻求突破和发展。
第一是理念的创新。在新的科技创新形势和新技术层出不穷的环境下,新技术风险的暴露以及随之而来的攻击手段创新,给信息安全风险防范带来了前所未有的压力和挑战。例如,云计算发展使金融企业的网络边界被打破,移动应用让终端安全管理成为挑战,大数据使信息保护的难度被放大。信息安全团队从理念上认识到创新的重要性,时刻更新自己的理念,深入分析新技术、新形势下存在的新风险,掌握业务和技术发展趋势,加快新技术的学习,抓住新技术中的关键风险点,针对性地建立防控措施。
第二是制度的创新。制度创新包括组织架构的创新、管理体系的创新、工作流程的创新和管理制度的创新等。为了更好地发挥信息安全工作对业务和其他科技工作的支撑作用,信息安全团队必须建立一套能快速响应互联网和金融科技创新形势的信息安全管理组织、机制、流程和制度体系,根据最新的监管要求、国际国内安全管理体系标准和技术规范,持续不断地更新迭代,既防控住关键风险,又不显著影响工作效率。
第三是技术的创新。金融企业普遍部署了防病毒软件、防火墙、IPS/IDS、WAF等安全相关的工具软件,以防范外部的攻击入侵。这些常见的传统安全防御手段主要针对传统业务和技术架构进行设计和部署。但是,随着技术不断进步,新技术往往引入新的架构和新的业务模式,一方面,存在新技术引入的新风险,大量的新漏洞呈现集中爆发趋势,系统安全受到威胁,传统的风险管控手段滞后,无法满足新风险的防范要求;另一方面,金融企业引发的关注度增加,获利性吸引力增强,导致面临的攻击加大,而攻击方法和工具的进化速度总是领先于防控平台,传统的安全防范技术已经无法完全满足新形势下的安全保障要求。因此必须大幅加强安全技术的创新应用,如威胁情报分析、安全态势感知与安全大数据分析、人工智能等,才能应对千变万化的安全威胁。
要保持创新的理念、制度和技术,需要信息安全团队持续不断地跟踪、掌握和研判国内外发展态势,结合自身的深入思考,形成创新的氛围,专项研究创新成果的转化应用。
当今时代,新理念、新技术层出不穷,新攻击趋向产业化,新漏洞出现常态化,任何在信息安全方面因循守旧的传统金融企业,都可能面临安全防线被攻破的风险。
因此,必须打造学习型的信息安全团队,提高团队全体成员的学习意愿,激发学习潜力,才能保持源源不断的原动力,实现有效的风险防范。
·从信息安全团队负责人开始,就要在思想上提高认识,以身作则地学习,并在整个团队内部达成共识,形成向学习型组织进化的融洽氛围。
·要加强对员工的教育和引导,激发员工的主观能动性,实现从“要我学、要我做”到“我要学、我要做”的转变,使员工的个人追求和个人价值体现与安全团队目标和安全团队价值观保持一致。
·要推动从学习到生产的转化,鼓励员工切实把学习的内容消化、吸收并且变为对工作有帮助的原材料,最终实现事半功倍的产出。
·鼓励和营造团队内部互相交流和探讨的气氛,通过企业内训、员工之间互相培训、内部交流会等形式,达到“1+1>>2”的效果,将个人智慧转化为集体智慧。
通过打造学习型团队,可以提高信息安全团队对信息科技风险的掌控能力,也同时提高对风险的预判和防控能力,既避免“看不见的风险”,又能随时从容应对“已看到的风险”。
沟通在任何工作中的重要性都毋庸置疑。对于信息安全团队来说,大量的风险控制工作并非由自身完成,需要通过持续不断的沟通,来实现风险管控的目标。因此,必须在整个团队内部营造随时沟通的融洽氛围,对团队外部注意沟通的方式方法,实现良好的沟通效果。
·通过沟通实现“管理”上级。信息安全工作的目标没有统一范式,必须通过沟通去逐步确定。例如,信息安全工作目标是否与企业战略目标、信息科技战略目标保持一致,信息安全工作相关成本与效益的平衡点如何把控,信息安全投入和管控的重点在哪里,都需要向信息科技部门的负责人、首席信息官、高管层、董事会等做各种各样的报告,通过多轮的沟通,方可确定。因此,需要通过良好的沟通方式,争取上级的支持。为了更好地“管理”上级,需要掌握几个沟通的小技巧:站在上级的角度思考,用数字和事实说话,建立固定的沟通机制(包括时间、频率、汇报模板等),凡事带着解决方案去请示(说明各套方案的优缺点),等等。
·通过沟通横向协调和合作。信息安全工作不是金融企业的主营业务,但是对主营业务会产生一定的制约作用,因此需要加强横向的沟通。与其他部门的沟通、部门内部其他团队的沟通,目的都是为了更好地协作,达成金融企业的整体目标,确保安全这个“大后方”对前沿阵地的有效支持。积极主动地进行横向沟通,向对方讲清楚信息安全工作的必要性和目标,以及对客户、业务、科技其他工作的帮助作用,让大家理解安全不是为了“制约”而是为了“保护”,从而从心底理解和接受信息安全工作的出发点,心甘情愿地配合信息安全团队的工作,这样就能事半功倍,更好地达到风险管控的效果。
·通过沟通管理团队。信息安全团队内部必须建立顺畅的沟通文化,必须通过沟通确保团队成员对工作规划、工作目标、实现方法理解一致。在任何一个团队成员遇到困难时,必须敢于及时提出,并利用团队的力量共同讨论、沟通、协调并解决。
信息安全团队可以这样理解沟通的意义:上级、平级、下级都是可以利用的资源,沟通就是通过努力协调全方位的资源,用于达成信息安全管理的目标,从而实现信息安全对企业目标的支撑和保驾护航作用的过程。
根据中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告(2017年度)》,我国信息安全从业人员年龄大多在20~40岁之间(占比88.4%),65.9%的人员从业年限在5年以内,仅15%是信息安全专业毕业。可见,信息安全从业人员相对较为年轻,信息安全行业经验较短,且绝大部分并非信息安全专业毕业的“科班生”。因此,该报告得出判断,“整体信息安全人员的职业发展都处于初步成型阶段”。
表面上看这些都是信息安全团队的劣势,但凡事皆有两面性,只要用心加以转化,劣势就可以变为优势。信息安全团队成员虽然普遍从业年限不长,存在一定的知识和技能短板,但年轻的团队处于学习和成长的旺盛期,只要推动组建学习型组织,建立合适的知识结构,形成有效的思维模式,就能推动团队快速进步。
一个好团队的建设标准,可以采用“两个离开”来衡量:
·团队成员要有能力离开,这就要求提升团队成员的知识和技能。
·团队成员不愿意离开,这就要求持续提升团队凝聚力以及团队成员的价值感和归属感。
“能力+意愿”二者的结合,必能打造一支优秀的、战斗力强的团队。其中,团队意愿建设有很大的普适性,已经有大量的书籍和文章研讨,此处不再赘述。团队能力建设具有专业特性,而金融企业信息安全团队的能力建设更是有鲜明的特点和要求,下文将重点阐述。
金融企业团队的信息安全工作涉及面广、安全保障级别高,对信息安全团队的能力建设提出了更高的要求,需要通过恰当的专业分工,一方面让每个成员各司其职,使个人职责范围内的知识和技能提升最大化,另一方面让团队成员之间优势互补,促进团队的整体效率和效能最大化。
信息安全团队能力建设,可以分为以下几个步骤:
1)确定团队工作目标,找准主要矛盾,明确团队整体职责。
2)根据资源情况、团队成员特点,将团队的整体职责进行梳理并细分为若干子团队的职责。
3)根据职责分工,确定各团队成员的知识和技能需求,再根据团队的知识和技能背景,找出差距,制订有针对性的培养提升计划。
4)掌握学习方法,实现事半功倍的效果。
以下依次说明每个步骤的实践方法。
金融企业的信息安全工作目标通常分为两部分:
·安全管理类,主要是满足监管合规性要求和防范科技工作流程中的风险。
·安全技术类,主要是通过各种各样的技术防控手段,防范攻击入侵、信息泄露等信息安全风险。
不同发展阶段的金融企业,上述目标的侧重性会不一样。与科技企业、互联网企业等“技术流派”不同的是,金融企业的安全团队往往优先满足第一类目标,因为金融企业面临的监管要求多,合规性是对外经营的基础,必须优先保障制度流程的完善及操作过程的合规。第二类目标一般先通过部署基本的安全工具(如防火墙、防病毒、IDS、WAF等)实现技术防控,再依托第三方安全专业机构的外包资源做渗透测试、漏洞扫描和日常安全监测等。
要根据本企业的特点和信息安全工作发展阶段,抓住当前信息安全团队工作的主要矛盾,确定安全团队的关键职责和团队能力建设的重点:
·如果距监管要求的达成还有较大差距,安全团队就要先把主要精力放在合规性方面,安全技术防控方面先部署基本的技术工具,并适当利用外包资源。此时安全团队的关键职责就是构筑信息安全的底线,开展监管要求符合性分析和差距整改、信息安全管理体系建设、制度流程完善、内部安全检查等工作,将安全技术工具维护和安全外包服务作为辅助职责。
·如果信息安全管理工作已经达到一定水平,就要持续坚持信息科技合规建设不放松,同时加快培养安全技术防控能力。此时安全团队的关键职责需要兼顾管理和技术两方面,在巩固既定的安全管理长效机制的同时,逐步建立一体化、自动化、智能化的纵深防御技术体系,在安全工具和平台的新增引入和升级、安全技术策略的持续优化、安全技术服务的综合化和多样化、安全攻防的深入化等方面下大功夫。
金融企业的信息安全团队工作目标、主要矛盾、关键职责等方向性的内容确定后,需要对团队职能开展进一步的细化,明确具体的工作任务。
信息安全管理职能,即通过管理手段防范信息科技风险。主要包括:
·主要负责信息安全管理策略、制度、流程的制定和优化,确保各项信息科技监管要求在行内制度和流程中得到贯彻,即“有章可循”。
·对各种监管合规要求、制度流程的执行情况进行检查和监督,确保制度流程在日常工作中落实到位,即“有章必循”。
主要工作职责包括但不限于以下几项:
·负责信息安全整体规划设计和计划管理。组织制订符合金融企业科技规划和风险偏好的信息安全规划,确定信息安全工作的愿景、使命、价值观和发展方向,明确信息安全工作的长期和短期目标,摸查现状和目标的差距,制订具体实施路径;制订年度信息安全工作计划并组织分解任务,确保计划达成。
·负责金融领域信息科技相关监管要求的达成。负责组织落实国家监管机构及行业组织颁布的信息安全管理要求和规章制度要求,对于不符合项组织排查和整改到位;负责向监管机构、行业组织及行内职能部门等报送信息科技风险监测情况,满足监管机构对信息安全的监测要求;保持与监管机构和信息安全机构的良好沟通与联络,掌握同业信息安全管理控制的动态信息,指导内部信息安全工作;建立完善与监管机构、行业组织、重要客户的沟通联络应急机制,保持应急机制的有效性。
·负责信息安全管理体系建设及维护工作。对于需要通过或持续维护ISO27001认证的企业,采用ISO27001信息安全管理体系为标准,借鉴国际信息安全管理最佳实践经验,制定信息安全策略和方针,系统梳理企业信息安全管理存在的风险,采取有效措施防范信息安全风险,提高自身信息安全管理水平;获得由国家权威机构颁发的ISO27001信息安全管理体系认证证书,提升企业形象和外部认可;持续维护信息安全管理体系并每年通过国家权威机构的年审,确保风险管理机制的长期可持续性。
·负责信息科技规章制度和流程的制定和优化完善。收集整理并组织落实国家监管机构及行业组织颁布的信息安全规章制度和管理要求;将外部要求转化为内部制度和流程,建立健全科技规章制度体系,组织规章制度的制定、宣讲、评估、修订、废止等全生命周期管理;组织开展信息科技规章制度检查,检查各项制度流程的执行落实情况,评估制度流程的有效性和可操作性,适时开展制度修订或废止;负责将制度要求落实到内部管理系统中,实现制度要求的技术硬约束。
·负责外部信息安全检查的组织和配合。负责具体组织、协调、配合监管机构、行业组织等外部单位以及内部审计部门、风险管理部门、合规部门等开展的信息科技检查工作;针对监管机构现场或非现场检查、内部审计、外部审计以及风险评估发现的风险,组织落实信息安全风险整改,控制和化解风险。
·负责信息科技内部风险检查和评估。组织信息科技内部合规性检查、风险评估、整改机制的制定和落实,确保风险被主动的发现和整改,总体控制信息科技风险。
·负责组织其他部门和分支机构的信息安全工作。组织对其他部门和分支机构的信息安全现场和非现场检查和监督,确保信息安全制度和要求在全行的贯彻落实。
·负责组织信息科技突发事件的应急处置。组织信息科技突发事件和信息安全攻击事件的监控和分析,向监管部门和行内管理层报告,协调应急处理,控制突发事件带来的影响和损失。
·负责全辖安全团队建设和培训宣传。组织分支机构建立信息安全岗位,负责岗位人员的培养;负责全体员工信息安全意识教育和培训。
通俗地讲,信息安全技术职能就是要通过技术措施,实现让攻击者“进不来,拿不走,打不开”的目标:
·“练内功”,致力于提高信息系统自身的健壮性和免疫力,通过制定安全技术规范,确保金融机构的信息系统遵循技术规范设计、开发和运维,减少系统运行的风险和漏洞。
·“防外贼”,在信息系统外围建立“篱笆墙”,通过设计安全技术架构,实施专门的安全技术工具,保护金融企业信息系统及系统中的数据免遭破坏或泄露。
主要工作职责包括但不限于以下几项:
·负责制订企业级的信息安全技术规划和技术架构。明确安全技术防控目标,构建覆盖物理安全、网络安全、系统安全、应用安全、数据安全、桌面安全等全方位的技术规划蓝图,确定技术架构体系;摸查安全技术建设的现状和差距,制订安全技术防控措施的实施路径。
·负责组织制订和落实信息系统安全技术要求。根据监管机构、行业组织等发布的信息安全技术标准和规范,组织在行内的落实和转化;制订覆盖物理安全、网络安全、系统安全、桌面安全的信息安全基线;制订覆盖需求分析、系统设计、编码、测试、投产、运维等全生命周期的应用安全管理技术规范;通过制订规范、宣讲规范、技术评审、落实情况检查、督促整改的闭环机制,分析评估和化解现有信息系统安全技术架构和安全措施存在的问题和漏洞,确保安全基线和安全技术规范在生产运维、应用研发、科技管理等工作中有效贯彻落实。
·负责信息安全基础设施和技术工具的建设和运维。根据整体技术架构,分步骤地实施防病毒、防火墙、入侵检测、漏洞扫描、安全事件管理平台、安全情报分析、安全态势感知平台等信息安全技术措施,负责安全技术策略的建立、调优和维护,开展日常信息安全事件的应急响应和处置,防范安全攻击和入侵风险。
·负责安全漏洞检测和防护。信息系统投产前开展网络、系统、数据库、应用等各层面的漏洞扫描和风险评估,组织漏洞分析排查和修复;组织外部专业安全机构定期开展应用系统渗透性测试,有条件的组建内部渗透性测试队伍,评估漏洞风险等级并制订修复方案;针对外部披露的漏洞信息、病毒风险、威胁情报等,组织应急响应和风险防范;组建内部安全攻防队伍,制订安全事件应急预案并开展攻防演练;组织开展应用系统防病毒、防挂马、防篡改、防钓鱼、抗DDOS攻击等方面的安全监控和应急处置。
·负责组织开展信息系统安全等级保护工作。按照国家信息安全等级保护相关法规和标准,开展定级、备案、自查、测评及整改等工作,实现等级保护“同步规划、同步建设、同步运行”。
·负责信息安全新技术的跟踪研究。组织收集和研究同业信息安全技术及管理发展动态,研究行业信息安全技术发展趋势,提出信息安全技术和管理发展方向建议。
在准确梳理上述信息安全团队职能的基础上,根据信息安全团队人力资源、当年可以投入信息安全工作的财务资源情况,确定本企业当前形势下最关键的信息安全职能是哪几项,然后将关键职能分配至团队成员。最好至少设置安全管理和安全技术两个岗位,在信息安全团队达到一定规模后,可划分为安全管理和安全技术两个小团队,每个小团队中的成员赋予一部分的职责。
上述步骤完成后,就可以形成信息安全团队岗位职责对照表,如表5-1所示。
表5-1 信息安全团队岗位职责对照表
所谓“工欲善其事,必先利其器”,在明确目标和绩效指标后,就要通过持续的学习知识和锤炼技能,提升安全团队的专业能力,从而达成目标和绩效指标。
要实现高效的学习和提升,需要先构建学习的框架,然后根据框架对照发现自己的不足,并逐步弥补短板。学习框架主要包括三个方面:
·安全管理类知识和技能。
·安全技术类知识和技能。
·其他补充知识。
安全管理类的知识和技能可以细分为以下七类。
(1)监管要求和行业组织标准
金融企业的监管要求来源和种类较多,包括国家法律法规,以及监管机构发布的制度、指引、通知、要求、风险提示等,例如《中华人民共和国网络安全法》《商用密码管理条例》等法律法规;银行业的《商业银行信息科技风险管理指引》《商业银行数据中心监管指引》等监管要求;证券业的《证券期货经营机构信息技术治理工作指引》《证券期货业信息安全保障管理办法》等监管要求。
行业组织标准,包括国家标准和行业标准。国家标准包括物理安全相关的GB 50174—2017《数据中心设计规范》、数据安全相关的GB/T 35273—2017《信息安全技术个人信息安全规范》、等级保护相关的GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》等;行业标准包括JR/T 0068—2012《网上银行系统信息安全通用规范》、等级保护相关的JR/T 0071—2012《金融行业信息系统信息安全等级保护实施指引》等。
监管要求和行业组织标准异常繁杂,如果全部记住既不现实也没有必要,关键是要能活学活用,这就要求做好归档并形成地图,同时,安全人员的头脑中要形成一个大致框架和索引,需要的时候知道怎样能够搜索和引用。
首先是归档。要收集齐全这些监管要求和行业组织标准并随时更新维护,指定信息安全管理团队成员承担起职责,在每次收到文件后立即集中归档保存,然后按照一定的逻辑形成监管要求文件汇编,建立知识地图。
其次是学习。信息安全人员应该从多个角度反复学习监管要求和行业组织标准,掌握其中的主要概念和要求,形成知识框架。主要的学习方法包括:
·按单个监管要求开展纵向通读,对照本企业的情况排查差距。例如,在GB 50174—2017《数据中心设计规范》更新发布后一个月内,马上组织对照排查物理环境是否满足对应的安全要求。
·按管理领域进行横向整理。例如,网络安全领域,在法律法规、监管要求、行业组织标准中都会涉及,需要从各个文件中摘录,并经过合并、去重,整理形成网络安全相关的汇总要求。
·结合安全检查和风险评估。对照监管要求和行业组织标准,一方面检查制度转化情况,即行内制度和流程是否有对应的转化和贯彻落实;另一方面检查执行情况,即实际的操作过程和信息系统是否满足要求。通过在日常检查中不断回顾和巩固,加深对监管要求和行业组织标准的理解和应用。
(2)信息安全管理体系建设标准
现在越来越多的金融企业选择开展ISO27001信息安全管理体系认证。ISO27001标准,是全球应用最广泛与典型的信息安全管理标准,为金融企业的信息安全管理体系建设提供了很好的参照指南,其理念主要是针对信息资产进行保护,对系统漏洞、黑客入侵、病毒感染等内容进行防范。
最新版的ISO27001标准是2013年修订的版本,共包括14个控制域、35项控制目标和114项控制措施,其内容涵盖了信息安全管理和技术的方方面面,是非常完整和细致的。几乎所有想通过认证的金融企业都不会把认证当作唯一或者主要目标,ISO27001认证的过程,只是在促进金融企业自身完善信息安全管理体系后,由权威机构对信息安全工作进行复核和认可。
ISO27001认证的主要“实惠”是,通过认证的过程,安全团队可以快速掌握信息安全管理体系相关的理论知识,并通过全面、系统地梳理、对照、排查本企业在14个控制域内的安全现状,发现安全短板和漏洞,从而主动化解风险。同时,通过企业内部对安全工作的大力培训和宣传,提升全员安全意识水平。
(3)已有的制度和流程
通常,金融企业制度流程都比较规范,会形成一套涵盖业务、财务、风险、合规、科技等领域的制度体系,这些制度流程是金融企业员工日常工作所参照的依据,信息安全团队必须学习掌握其中信息科技管理和风险管理相关的内容,才能更好地把控企业对于信息科技相关的工作要求。主要包括几个层级的制度:
·企业级制度,属于全辖都需要遵守的规章制度,信息安全团队重点学习其中的风险政策、风险管理办法、保密管理办法、客户信息保护相关管理办法、业务连续性管理办法等。
·其他部门相关制度,例如,审计部门发布的审计准则、审计及整改追踪办法等,风险部门发布的风险管理、评估、监测相关工作指引,合规部门发布的法律事务相关的规章制度等。
·信息科技部门相关制度,金融企业通常都会形成涵盖科技管理、开发、测试、运维、信息安全的一整套制度体系。
对于企业级和其他部门的制度,信息安全管理团队应该有初步了解并形成一个索引,做具体工作的时候知道要遵循哪些相关要求、从哪些制度中寻找依据,同时确保科技规章制度能符合企业级制度的要求,与其他部门制度不相冲突。
对于科技规章制度,则要肩负起制定和维护的职责,自己先学习、掌握,然后组织科技条线内部的学习宣讲,之后通过检查督促执行,最后根据检查结果再检讨制度的合理性,完成制度修订,形成一个全生命周期的闭环和螺旋上升的机制。
(4)监管要求符合性分析和排查的技能
熟悉掌握监管要求,可以说是金融企业信息安全团队的“安身立命之本”。除了对本行业的信息科技监管要求做到烂熟于胸之外,信息安全团队还需要对监管要求进行转化,将其变为在企业内落地的条款,并通过监管要求和企业实际情况的对照分析,排查出本企业的差距,组织实施整改弥补差距。
因此,监管要求符合性分析和排查,是信息安全团队必备和常用的技能。监管要求符合性分析,分为以下两个层次:
第一个层次是企业内部制度是否符合监管要求。每收到一个新的监管要求,需要对其中的每一个条款逐个吃透、理解,然后分析该条款可以有行内哪一份规章制度的哪一个条款来对应。如果没有任何一条制度能达成监管要求,则需要对制度进行补充完善。这一个层次的分析成果就是对照排查结果,以及制度、发文通知等证明材料。
第二个层次是企业内的执行情况是否符合监管要求和制度规定。这就需要针对监管要求,摸查企业内部工作流程的执行情况,搜集执行的记录、日志和证据材料,判断执行过程和结果是否符合监管要求和制度规定。这一个层次的分析成果就是对照排查结果,以及日常执行的记录、项目文档、系统日志等证明材料。
经过上面两个层次的现状分析和差距对比,得出每一项监管要求的差距项分析结果,然后对存在差距的项目,确定整改要求和整改责任机构,由责任机构制订并落实整改方案、整改计划、责任人和计划完成整改时间,并定期反馈整改进展。
监管要求符合性分析工作的输出成果和过程跟踪,可以用一个表格表示,如表5-2所示。
表5-2 监管要求符合性分析对照表示例
(5)信息安全风险检查技能
信息安全风险检查,是信息安全团队的主要工作之一。掌握一定的检查技能,有助于主动发现深层次的风险隐患,有计划性地推动落实整改,实现将风险“扼杀在摇篮中”的目的。
信息安全风险检查,是指通过调研访谈、资料查验、现场核查和穿行测试等方法,评估当前信息安全管理和技术控制的合规性、充分性和有效性,发现存在的信息安全风险,针对发现的风险提出整改要求并监督实施的风险防范及控制过程。信息安全风险检查,检查只是手段,“以查促防”“以查促改”才是最终目的。
信息安全风险检查分为自查、现场检查、非现场检查、飞行检查等多种方式:
·自查方式,由被检查对象自行组成检查组,按照预先制订的检查方案开展信息安全检查,鼓励被检查机构主动充分揭示自身存在的风险隐患,形成“主动揭示风险,主动落实风控措施”的机制。
·现场检查方式,由信息安全团队牵头组建检查小组,制订检查方案和时间安排,在预定的时间范围内进驻被检查单位,按照检查方案开展信息安全风险检查。
·非现场检查方式,由被检查对象提供文档、影像资料、配置文件等证明材料,信息安全团队牵头组建检查小组针对证明材料进行核验,通过材料比对、数据分析、电话访谈等方式,核查事实、发现问题。
·飞行检查方式,属于现场检查中的一类,但与普通现场检查的区别是不提前制订计划,不提前通知,而是突然派出检查组直达被检查对象现场“突袭”检查。检查内容同样覆盖所有的检查列表,目的是检验被检查对象日常信息科技工作情况以及应对突发性检查的能力。
信息安全风险检查过程包括检查准备、检查实施、检查报告、后续整改、总结分析五个阶段。
·检查准备阶段:包括组织成立检查组、制订检查实施方案、明确检查时间安排、通知被检查单位等工作。检查方案中最重要的是信息安全风险检查列表,其中明确了检查项目、检查依据、检查标准、检查方法、抽样要求、发现风险情况、风险级别等,该表涵盖了检查的重点内容,根据监管要求、企业内部制度流程、历年检查情况等每年进行更新、完善并发布。
·检查实施阶段:检查人员通过访谈、调查问卷、现场查验和穿行测试等检查方法,了解被检查对象的信息安全现状,分析信息安全管理和技术控制的合规性、充分性和有效性,识别存在的信息安全风险及隐患,评估发现的信息安全风险等级及影响。
·检查报告阶段:检查实施完成后,检查人员应总结信息安全风险检查情况,向被检查对象的负责人说明检查过程中发现的问题和风险,指出违规情况和风险隐患可能造成的影响,提出明确的整改要求,向被检查单位发出书面的检查报告,对于重大信息安全责任事件予以通报。
·后续整改阶段:被检查对象须根据检查报告组织制订信息安全风险检查整改计划,落实整改工作,同时要求被检查对象按月、按季汇报整改进展。
·总结分析阶段:信息安全团队定期召开专题信息安全风险防控交流会,组织被检查对象总结分析检查发现的风险隐患,剖析风险形成原因,研究防控措施,更好地推动整改和长效机制建立。
风险检查工作的输出成果和过程跟踪,可以用一个表格表示,如表5-3所示。
表5-3 风险检查记录表示例
(6)信息安全风险监测技能
信息科技风险监测,指金融企业针对信息科技活动中的重点风险领域,选取关键风险指标,持续开展风险监测、动态跟踪风险趋势、前瞻研判风险态势并及时采取控制措施的过程。
信息科技风险监测采取以下步骤开展:
1)选取监测指标。根据各领域的管理要求选取可计量的信息科技风险监测指标,以综合反映本企业信息科技风险水平及风险管控能力。指标的选取,应该能够反映企业信息科技风险水平和控制效果,能够涵盖本企业信息科技风险存在的主要环节,反映信息科技各环节工作的风险状况。根据指标性质设置不同的监测频率,可以按月、按季、按年收集。对于每一个指标,要设置合理的阈值,超过阈值范围则说明风险状况需要引起重视,需要分析原因并采取应对措施。
2)数据采集。信息科技风险监测指标由信息科技基础运行数据经采集、加工、计算形成,有系统自动采集的指标,也有人工采集的指标。信息科技部门应保障指标数据的全面性、真实性和准确性,指标数据应当具备可验证、可追溯的数据来源。
3)指标应用。应根据指标监测和分析结果,针对异常情况统筹制订风险应对策略,并具体实施执行。对于监测发现的重大风险,应及时将风险信息和相关应对处置方案报送高级管理层。
4)指标维护。应根据监管要求、信息科技发展状况、风险监测结果、风险关注重点等情况,定期(至少每年一次)进行维护及更新,在发生重大科技变更或其他必要事项时,也应进行指标维护及更新。
风险监测工作的输出成果和过程跟踪,可以用一个表格表示,如表5-4所示。
表5-4 风险监测记录表示例
(7)应对内外部审计和检查的技能
金融企业信息科技部门经常需要接受外部的安全审计、风险评估、检查等工作。监管机构、公安机关、外部审计公司、内部审计部门、风险管理部门、合规部门等,都是信息科技检查的组织者和执行者。
金融企业信息科技部门通常会安排信息安全团队负责迎检工作。此时的信息安全团队摇身一变,由经常检查别人的角色,切换为被检查对象的总协调人。为了保障检查工作的顺利进行,特别需要注意以下几点:
·换位思考,提前预演。在接到检查、审计等通知前,信息安全团队要尽可能先创造机会在内部做一次检查的“演练”,也就是说,将自己代入检查人的角色,按照通知中的检查范围、检查内容,模拟检查方法,先来一次内部检查,对于发现的问题马上组织整改工作。
·资料提交必须真实、完整、准确。信息安全团队要整体把控资料的内容,正式对外提交前对资料进行预审,确保资料来源的真实性和可追溯性,而且要确保资料与检查清单上的要求一一对应,不要“张冠李戴”,也不能有理解的偏差和信息的遗漏。
·要安排合适的人,说合适的话。要预先安排好被访谈的人员,包括负责总协调的唯一接口人和专业领域内的其他责任人。接口人要全面掌握企业的内部信息,有较强的沟通协调能力,能快速反应,灵活调配资源。其他人员要在专业能力上能应对检查内容,沟通方法上能掌握分寸。信息安全团队可以提前做一次迎检培训,讲述迎检的注意事项。要特别注意的是,回答问题时,牢记“问什么答什么”,绝不能答非所问,天马行空地想到什么说什么。
安全技术类的知识和技能涉及面非常广泛,包罗万象。对于金融企业来说,重点需要掌握以下几方面的安全技术:
·物理环境安全。对于数据中心的访问控制技术、监控、风火水电、消防、温湿度等,了解一些基本的技术参数要求,在检查时会对比知道怎样属于安全范围内即可,无须深入掌握太多技术细节。
·网络安全。网络安全技术比较复杂,往往是攻击的突破口,如果能够掌握基本原理和主要的安全相关技术,对于安全防控大有帮助。主要包括网络设备身份认证措施、网络隔离技术、网络区域划分的规则、网络边界安全、网络访问控制的配置、网络端口控制、网络安全审计日志等。对于关键的安全设备之一—防火墙的原理和配置最好也能有所了解。
·系统安全。主要熟悉操作系统、数据库、中间件等系统软件的安全配置基线,以便通过配置基线的核查比对,发现风险隐患。
·应用安全。主要掌握访问控制和身份验证,以及数据保密性、完整性、可用性等方面的安全技术标准和要求,能够在技术方案评审和投产上线后的安全检查中发挥作用。
·数据安全。主要掌握个人信息的范围,了解数据脱敏技术,以便核查确认个人信息全生命周期保护措施是否完善。了解数据备份原理和技术,以便检查数据备份策略是否有效、数据是否具备恢复能力等。
·终端安全。主要掌握终端安全相关的工具软件的原理,例如域控、终端准入软件、文档安全产品、数据防泄漏等终端安全保护技术,以便在终端安全策略制定和安全检查中发挥作用。
·开发安全。熟悉SDL等开发生命周期中需要遵循的安全技术标准,熟悉需求分析、设计、编码、测试、投产前安全扫描等各阶段的安全基线,以便参与技术评审和检查应用开发中的安全措施是否充分和有效。
·运维安全。熟悉生产运维管理全流程中的风险点,以及堡垒机和系统日志审计、数据库日志审计、应用日志审计等审计工具的使用。
·安全防护工具。防病毒软件、IDS/IPS、WAF、漏洞扫描工具等的熟练维护、事件处置和策略优化。
·渗透测试。了解渗透测试相关的技术、常用工具软件等,以及各类漏洞的原理、攻防方式、漏洞防护策略等。
·安全新技术。包括安全态势感知、安全大数据分析、威胁情报、人工智能等。
·新技术安全。包括移动互联、云计算、大数据、区块链、人工智能等金融科技新技术的风险、安全防范措施和安全防护工具。
要做好安全工作,还需要一些补充知识:
·掌握一些业务方面的知识,包括业务相关且涉及科技系统支持的监管要求,主要的业务逻辑,业务风险控制要求等,以利于技术方案的评审和安全要求在应用系统中的落地实现。
·掌握沟通、协调和关系处理的软技能。详见5.8节“安全团队与其他团队的关系处理”。
所有的知识和技能,虽然都有变与不变的部分,但是永远不变的是“变化”。因此信息安全团队必须不停地刷新自己的知识和技能框架,调整学习重点,保持与新技术、新理论的同步,方可在不断变化的环境中,始终保持合规性和对风险的有效控制,以及保持对攻击的免疫能力。
由于信息安全相关知识和技能包罗万象、日新月异,掌握一定的学习方法就显得至关重要。
安全管理类工作虽然繁杂,但“万变不离其宗”,要先把监管要求和规章制度等规矩吃透,然后发现本企业在执行方面的风险和短板,最后完成整改和化解风险。参照读书时“先把书读厚、再把书读薄”的法则,安全管理类工作也需要经历“读薄—读厚—再读薄”这样的循环。
(1)“把书读薄”
金融企业面临的监管要求、行业标准层出不穷,行内的制度也通常是以百为单位的数量,要全部记住这些“规矩”基本不太可能。因此需要:
第一步,建立基本原则。分清楚什么样的规矩必须全文吃透,什么样的规矩掌握梗概即可,什么样的规矩只需掌握其中的关键条款。
第二步,区分精读和粗读。对上面第一种情况精读,第二种情况粗读,第三种情况部分粗读、部分精读。
第三步,形成“知识地图”。把规矩中的要点摘记下来,在头脑中形成一张“知识地图”,或者利用一些“脑图”工具实现记录,需要用到的时候可以在“知识地图”中快速检索。这样就实现了“读薄”的效果。
下面举一个银行业监管要求的事例,说明“读薄”的方法。
第一步,建立基本原则。银行业监管要求中关于信息科技风险管理的要求必须全文吃透,因为是信息科技风险管理的纲领性文件,例如《商业银行信息科技风险管理指引》《银行业金融机构外包风险管理指引》等;关于整体风险控制的文件需要掌握梗概,因为信息科技风险是其中的重要组成部分,可能各个条款都与信息科技风险有关联,例如《商业银行内部控制指引》《银行业金融机构全面风险管理指引》《商业银行操作风险管理指引》等;关于业务风险控制的文件只需要掌握关键条款,因为其中大部分管理对象是业务操作,与信息科技风险管理相关的条款通常不多,例如《网络借贷资金存管业务指引》《商业银行委托贷款管理办法》等。
第二步,区分精读和粗读。例如对于《商业银行信息科技风险管理指引》,首先清楚其中涉及信息科技治理、风险管理、审计、信息安全、开发测试、生产运维、业务连续性、外包等八个关键的风险领域,然后针对每个领域,逐个吃透其中每个条款的内容,同步思考为何要提这样的风险控制要求、实际上怎样操作才算满足要求等,这就是精读。对于《银行业金融机构全面风险管理指引》,了解信息科技风险是其中的重要组成部分,指引中规定了风险治理架构、风险管理策略、风险偏好和风险限额、内部控制和审计等各方面的风险要求,重点了解信息科技部门需要参与其中每年一次的风险管理策略回顾、风险评估等工作,并建设完善的风险管理信息系统和信息科技基础设施等,这就是粗读。
第三步,形成“知识地图”。银行业金融机构信息科技风险管理工作涉及面虽广,但是都脱离不了《商业银行信息科技风险管理指引》“八大领域”的框架范畴,因此可以首先以“八大领域”为“知识地图”第一层的主干框架,然后将其他监管要求合并进来。例如,将《银行业金融机构外包风险管理指引》中的主要内容合并到“八大领域”中的“外包管理”领域,将《商业银行数据中心监管指引》中的主要内容合并到“八大领域”中的“信息安全管理”领域(具体说,是其中的“物理安全”子领域)等。以此类推,就可以建立起信息风险管理的监管要求“知识地图”。行内制度也可以参照执行。
(2)“把书读厚”
主要方法就是结合本企业的实际,理解和分析监管要求在本企业的应用落地情况。常见的一种方式是,对照“知识地图”中各领域的要求,逐条分析本企业的制度是否对监管要求进行了转化,以及实际操作流程是否严格执行了监管要求和制度规定。这样就可以将监管要求中的概要描述,转化为企业内细化的规定和流程控制,既可以实现对监管要求更深入、更全面、更细致的理解,又可以使企业流程更加标准化、规范化、精细化。
(3)“把书再次读薄”
主要方法就是在发现本企业与监管要求之间的“缺口”后,分析归纳出主要整改方向和整改要点,把主要的精力和资源放到解决这些问题上,制订整改计划,将短板补齐,逐步让“缺口”越来越小,需要关注的重点也就越来越少。
安全技术方面,涉及的领域非常广泛,各种技术类书籍、文章或者工具使用指南可以说是“汗牛充栋”,这里不讲具体技术内容,只讲所有技术学习共性的“套路”。
这个套路用几句话概括,就是学习的四个境界:“不知道不知道”“知道不知道”“知道知道”“不知道知道”。
第一步,从“不知道不知道”进化到“知道不知道”。要有“空杯心态”,不停地发现自己的短板,知道自己该学什么。针对自己工作的重点,分析自己在哪方面的技术存在差距,然后针对差距列出学习清单,针对清单上的内容逐项确定自己需要学习掌握的程度—精通、熟悉还是了解即可。根据工作需要去学习,会比为了学习而学习的效果好很多。
第二步,从“知道不知道”坚持到“知道知道”。要保持对技术学习的强烈意愿和兴趣,坚持不懈地努力,根据清单逐项学习掌握技术要点,第一,摸清技术防控的风险本质和目的;第二,搞清安全技术的原理和内涵;第三,掌握具体的操作方法。做完这三条后,基本上就心中有数了。在互联网时代,只要有心,学习的途径非常多。可以参考的做法是,先通过百度或知乎等网站粗略了解该技术想解决的主要问题和大概原理,再买三本以上的专业书籍阅读理解(一本精读,两本辅助补充),然后找相关的厂商交流如何实践,三个做法可以交叉或者循环进行。
第三步,从“知道知道”潜移默化为“不知道知道”。这个过程的关键在于将外部知识内化为自己的知识,并能够熟练运用。第一,要在实际工作中尽可能多地加以运用;第二,要日常多做深度思考,养成总结、分析、回顾、检讨的习惯;第三,在适当情况下写成文章并与大家分享,强迫使自己的思维趋向结构化。长此以往,就像最厉害的武侠大师一样,能够做到“心中有剑,手中无剑”,即在需要应用知识的时候,形成一种“习惯性输出”,无须临时深度思考,就能手到擒来,运用自如。
经历过上述三步以后,就进入一个新的“不知道不知道—知道不知道—知道知道—不知道知道”的循环,个人的技术水平,也将螺旋上升。
建设一个好的信息安全团队,不是一蹴而就的。随着金融企业对信息安全保障的要求不断提升,信息安全工作不断成长成熟,信息安全团队也逐步发展壮大。因此,有必要提前设计好信息安全团队的建设路径,安排好不同阶段、不同人数团队的不同工作任务。
首先要找到一个“唐僧”式的人物,作为信息安全团队的领头人。这个人必须有坚定的信念,执着的追求,对目标一以贯之的坚持,才能在重重困难中坚持把信息安全工作做到位。
信息安全团队的领头人,除了自己不畏艰难、苦心修行、日益精进之外,还必须能够对团队产生巨大的影响,至少要做到以下几点:
·努力让团队成员认可信息安全工作的价值,相信自己的价值,感受到被别人认同的价值,这样才能激发每个员工的最大潜力和最强的主观能动性。
·让信息安全工作创造价值。要用“踩油门”的心态和目的,去“踩刹车”,不能习惯性地“踩刹车”,或者一直踩住刹车导致止步不前。最好的做法是,类似开车时候的“切线变道”,“踩刹车”的目的是为了更好地前进。金融企业是经营风险的机构,风险管理能力是核心竞争力,良好的风控措施,是为了更好地发展业务。同样,恰到好处的信息安全管理,也是为了系统更稳定地运行和更好地支持业务,必须努力让这一目标得以实现。
·通过各种量化措施,让安全团队的价值表达、体现出来,方法之一是设置合理的安全监测指标和安全考核指标,体现安全团队对风险的主动发现能力的持续提升,以及安全团队工作绩效的持续改善。
·主动报告和表达,“管理”上级,做好上层领导的工作,争取领导的支持。信息安全是“一把手工程”,获得领导的信任和支持是成败的关键,也是信息安全团队领头人最主要的工作任务之一。
“唐僧”确定以后,其他团队成员也需要陆续到位。如果能找到专业技能非常高超的“孙悟空”,沟通协调能力极强的“猪八戒”,任劳任怨的“沙和尚”,还有平常默默无闻、关键时刻担当顶梁柱的“白龙马”,这样的团队组合就非常完美。这就需要根据企业的实际需要,针对性地找到对应技能的团队成员。
专业的安全人员在市场上很少,而且前面提到的安全团队知识和技能涵盖面非常广,如监管要求、安全标准、网络安全、系统安全、应用安全、数据安全、漏洞挖掘、安全运维、安全开发等,能精通一种都已经极为不易,如果所有的都要精通,基本不可能,要么就是成本极高,不符合安全人员的定位。因此,要逃离招聘的“悖论”(既希望找通才和高端专才,又不愿意付出对等的薪酬),要先考虑清楚重点需要什么样的技能,然后招某一方面技能比较突出的人员,招进来以后其他方面边做边学,掌握至一定程度即可,不求样样精通。
还有一种比较好的方式是,招聘应届生自己培养。这样能根据需要的专业方向,针对性地督促应届生学习,假以时日即可精通某些方面。
总体来说,要招聘到符合目标的人才,不能坐等人家主动过来发现企业的需求、主动投简历,而应该自己到市场上去发现和物色,变“招”为“找”。
安全管理要求和安全技术纷繁复杂,靠一两个人全盘掌握几乎不可能,所以安全团队要根据人员特点和专业特长,合理安排角色和分配任务,鼓励每个人在专业路上纵深发展,取长补短,使团队合力最大化。
金融企业的信息安全团队,往往是从0起步,兼职、一个人专职、二个人专职、三个人到N个人专职,这样一步一步成长起来的。
金融企业信息安全的职能基本都是确定的,在安全管理和安全技术两个大类下,具体包括监管合规、制度建设、开发安全、运维安全、安全技术等几方面小类的工作。但是处于不同发展阶段的企业,在信息安全管控目标、风险控制范围和深度、剩余风险接受程度上不一样,因此,需要根据信息安全团队的资源情况,确定不同阶段、不同资源条件下需要做到的不同层次的目标,进而确定工作重点和工作方法。团队人数不同,信息安全工作的重点和采用的具体方法也就不同。
(1)兼职的信息安全
信息安全团队建设之初,往往是从综合团队安排一个人兼职承担所有信息安全工作职责。此时金融企业的安全工作,在安全管理方面往往只能做到“被动”式地满足监管要求,基本是来一个文件处理一个文件,来一个检查应对一个检查,发现一个漏洞封堵一个漏洞,很少有主动的检查、评估工作,也很少能举一反三地主动发现漏洞并实现整改。在安全制度建设方面,较难有所建树。
在开发全生命周期的信息安全防控、运维全流程信息安全防控工作中,只能组织开发、运维岗位的人员来配合安全工作,负责开发、运维相关领域的自查和评估。
安全技术方面基本以外包为主,通过外购安全设备和安全服务,来实现最基本的安全工具的部署和应用,此时的安全策略基本上可以先采用“出厂配置”,然后由外购的安全服务来提供定期的分析和调优。此外,通过外购渗透测试和漏洞扫描等服务,来帮助发现信息系统的技术漏洞。
对内外部发现问题的整改督办工作力度难以到位,更多依赖被检查对象的自觉性,基本对方说完成整改,安全人员就接受结果,没有时间和精力去验证结果。
(2)一个人的信息安全
如果有一个专职的信息安全人员,安全管理方面的工作除了被动应对外部检查审计外,已经可以实现一定程度的主动发现风险和主动的安全检查。
在安全制度建设方面,此时可以处于起步阶段,牵头建立起关于加解密管理、数据安全等核心的制度规范。
在运维安全方面,可以组织内部安全自查工作,将安全检查工作划分为机房、网络、系统、应用、终端等多个领域,但只能做到每月轮换一个领域开展自查工作,全年基本覆盖所有领域。检查深度上,可以先做到“从无到有”,离“从有到优”还有一定距离。
开发安全方面,可以建立一定的安全开发规范,提供给开发人员执行,但很难去介入开发过程的监督审核,难以检验开发规范落地效果。
安全技术方面,仍然继续依靠外包资源开展安全工具的维护、策略调优、渗透测试、漏洞扫描等技术防护工作。
对内外部发现问题的整改督办工作力度仍然难以保证,被动接受被检查对象报告的结果,有余力的时候可抽查一定比例的证明材料。
(3)两个人的信息安全
当有两个专职信息安全人员时,安全管理和安全技术就可以各由一个人负责。此时,可以安排两个员工分别开展安全管理和安全技术两个专业领域的学习,往各自的专业领域发展。
安全管理方面,监管要求、行业标准、制度流程可以作为安全管理人员的必备技能,要求必须熟悉、掌握、应用。监管要求的达成应该更加主动,除了必须完成的“功课”外,还应自主对照所有监管要求开展合规性分析,弥补短板。此时的分析,主要在于分析制度、流程、机制是否能达到监管要求,对于执行落地情况较难深入检查验证。
安全制度方面,可以开始规划制度体系,制定企业的整体安全策略,并且对于开发安全、运维安全、信息安全、业务连续性管理、外包管理等建立起总体的管理办法,明确各流程中的安全管理要求。
内部的安全检查应该可以建立常态化机制了。在运维风险管控方面,检查列表覆盖运维工作的关键流程(例如,事件和应急处理、生产变更处理和数据备份管理等几个流程),检查深度上可以开始“从有到优”,更加详细具体。
开发安全方面,可以建立覆盖需求分析、设计、编码、测试、投产全生命周期的应用安全基线和检查列表,交给开发人员自查。可以在关键技术领域参加技术方案评审(例如,加解密方案、互联网应用安全等领域),但对于规范落地的检查仍然难以到位。
安全技术方面,可以开始有一定的自主控制能力,安排一人学习掌握常见安全工具的策略,在外包资源的帮助下,初步具备攻击情况分析和策略调优的能力。
对内外部发现问题的整改督办工作力度增大,参照“二八原则”,对20%重要整改事项的目标效果可以开展验证,对于80%的绝大部分非重要整改事项,仍然继续被动接受结果。
(4)三个人的信息安全
对于中小型金融企业来说,如果能有三个专职信息安全人员,就已经非常幸福了。此时可以组建起独立的安全团队,从中挑选一个作为团队的负责人整体安排工作,最好能挑选一个在安全管理和安全技术方面都有一定的经验的人员来承担,走“广”的路线;另外两人分别担负起安全管理和安全技术的职责,走“专”的路线。
安全管理方面,监管要求的合规性检查应该“地毯式”铺开,自主对照所有监管要求开展合规性分析,除了分析是否有对应的制度、流程和机制来达成监管要求外,对于实际的执行应该通过检查、抽查等方式检验。
安全制度方面,应建立起相对完整的制度体系规划,除了开发、运行等围绕科技项目生命周期的管理制度外,科技管理、外包管理、信息安全管理等科技支撑性质的制度也应该建立起来。有条件的金融企业,可以开展ISO27001信息安全管理体系认证,通过对照标准,建立起完整、规范的体系文件,消除制度空白和盲区,促进制度执行。
内部检查的力度可以进一步增大。在运维风险管控方面,检查列表应该覆盖运维工作的所有流程和所有领域,轮换开展深入检查。除了检查制度、流程、机制是否完整外,更多的重点放在实际执行情况是否符合要求。有条件的金融机构可以申请ISO20000IT服务管理体系认证,建立覆盖运维全流程的体系文件。
开发安全方面,重点要检验需求分析、设计、编码、测试、投产全生命周期的应用安全基线和检查列表的落地情况,通过技术方案评审、开发人员自查、信息安全团队抽查的方式确保规范落地。
安全技术方面,仍然保持一定的自主控制能力,安排一人学习掌握常见安全工具的策略,对攻击情况分析和策略调优的分析更加到位。渗透测试、漏洞扫描工作仍然依靠外部资源开展。
对内外部发现问题的整改督办工作,继续参照“二八原则”开展,但对于20%重要整改事项的目标效果可以开展认真细致的验证,对于80%的非重要整改事项,抽取部分证明材料验证。
(5)N个人的信息安全
从四个人以上的信息安全团队开始,就可以根据“余力”的情况,在安全管理或者安全技术方面分别加强。
安全管理工作,主要从深度、精细度方面提升,监管要求达成情况的检查频率可以提高、抽样比例可以提高;安全制度的体系架构可以继续优化,制度的层级、关联关系可以梳理得很清晰,制度的细则可以覆盖到所有的领域,制度的可执行性可以进一步通过培训、检查、反馈、修订的闭环实现提升,制度的电子化“硬约束”可以逐步增加;内部安全检查可以往纵深发展,覆盖范围、频度、深度可以持续提升,开发安全的规范执行检查应该更加到位。
安全技术工作还是继续依赖外包资源开展,因为金融企业面临的巨大的“黑产”市场,很难靠金融企业自身的寥寥数人来应对,需要依靠专业的安全团队,运用专业的安全工具,才能与专业级的黑客抗衡。但是金融企业需要培养一定的自主掌控能力,特别是要培养安全人员对于业务的理解能力,更多地挖掘业务逻辑方面的漏洞,更好地把控外部安全团队的工作质量。
特别需要说明的是,对于安全技术架构和安全技术基础设施建设的职能,有的金融企业可能会放入队伍更庞大的IT运维团队的职责中。但从专业性、敏感性和安全技术防控的统一性来考虑,最好在人员允许的情况下,逐步调整为安全技术团队负责。
(6)提升人员单位产出:“安全管理技术化,安全技术管理控”
上面的实施路径,是信息安全管理工作的传统路线。由于信息安全岗位始终是职数有限的,管理者更需思考如何提升人员单位产出,在人数受限的情况下实现“弯道超车”。这就需要另外一个招数—“安全管理技术化,安全技术管理控”。
“安全管理技术化”,意思是逐步建立可量化、可视化、一体化、自动化、智能化的信息科技风险管控机制。具体手段包括建设可视化的信息科技风险预警和整改追踪平台;建设自动化、可量化的信息科技风险监测和计量机制;建立程序脚本和检测平台以实现自动化检查;实施安全事件管理平台和运作安全运营中心等。
“安全技术管理控”,意思是不能“唯技术论”。不能认为部署一大堆最先进的安全工具就能防控风险,而应先明确安全技术工具实施是想实现怎样的安全管理工作目标,在技术运用过程中不停地思考和衡量目标是否达成;同时应该将安全工具的应用超越简单的操作层面,进化到不停地开展管理策略和风险监测模型的回顾、检讨、调优,建立跨团队、跨系统、跨平台的一体化管理体系。
金融企业的信息安全人员,主要分成两类:第一类,专职的信息安全团队成员,其中分为团队负责人、安全管理和安全技术几个子类。第二类,开发或运维团队中从事信息安全工作的人员。
第一类可以由第二类转化而来,第一类的几个子类间也可以相互转化,例如,开发人员转型开发类的信息安全人员,然后转型为专业的安全人员;运维人员转型至运维类的信息安全人员,然后转型为专业的安全人员;安全管理人员可以转型为安全技术人员;安全技术人员也可以转型为安全管理人员。诸如此类。
对于专职的信息安全团队成员来说,如果确定要从事信息安全工作,首先必须先考虑清楚,自己是走安全管理路线,还是走安全技术路线;然后一旦选定,就埋头苦干三年,在自己负责的领域做到极致,从0到1,从1到N不断地学习成长;之后在专业的基础上,继续选择是在深度上继续进阶,还是在广度上拓展;最后,考虑是走向安全团队负责人、CSO(首席安全官)、还是转型去其他团队。对于信息安全团队成员来说,如果想突破信息安全领域转向其他领域工作,就要尽早实现转型,否则难度很大。
对于开发或运维团队中从事信息安全工作的人员来说,角色会有点“尴尬”,似乎既懂开发或者运维、又懂安全,属于复合型跨界人才,但会面临两者都知道、两者都不精的情况,很难在专业能力或者管理能力上有大的突破。所以建议要么尽快转型做安全团队专业人士,要么转型做开发或运维团队专业人士,或者让自己具备能力做团队主管,走管理路线。
总体来说,由于信息安全功能定位的特殊性,信息安全与科技主营功能,以及金融企业的主营业务之间,都有点距离。这也导致了信息安全团队的规模较难壮大,中小型金融企业往往只能安排1~3人专职从事信息安全工作,大型金融企业可以拓展到十人以上,极少数国内大型银行才可能达到几十人的规模。所以,信息安全在金融企业内部的功能相对来说比较局限,只能是一个相对较小的舞台。最高的职位也许能做到安全总监或CSO,大部分充其量就是安全团队主管的角色。这就是安全团队的“天花板”问题,如果“天花板”已经基本确定不会是很高的角色,那么信息安全团队的成员,应该把自己培养修炼成非常“高精尖”的技术专家,或者转型至其他团队,或者走管理路线。
有个不一定绝对、但相对比较真实的说法是:如果你想成为公司的CIO,带领数百上千人的团队,主导公司内部IT,成为老板甚至是董事会眼中的热门人物,那么还是不要选择信息安全,如果你的终极目标是企业的CEO,那么也请尽早离开信息安全领域,去做企业的主营业务。
任何一个硬币都有两面。有利的一面就是,信息安全作为一项基础性功能,已经越来越成为信息科技部门下开发、运维、规划等各子专业的人员必备的技术之一。因此,具备信息安全专业能力,也许可以让信息安全从业人员在转型至信息科技部门的其他专业团队时,更具有差异化的竞争力,而不是让他们一直保持为专门的信息安全专家。
关于安全从业人员职业规划的其他话题,后面第24章还将详细介绍。
信息安全工作中,绝大部分的落地工作都非信息安全团队自身可以独立完成,而是在其他团队内完成的,需要开发、运维、科技管理等其他团队的密切合作方可达成目标。因此,与其他团队的关系处理,已成为信息安全团队不可回避的工作,甚至在某种程度上成为成败的关键。
(1)冲突不可避免,但目标必须一致。
任务重、资源紧是科技部内各团队的常态,由于各自工作目标、工作重心、汇报路径的不同,导致其他团队与信息安全团队不可避免会存在一定的冲突。但信息安全工作是保障系统稳定运行、防范攻击的底线要求,所以各个团队必须统一思想,把信息安全的目标作为自己团队的目标之一,认识到大家只是不同的职责分工,但最终目标都是在确保守住风险底线的前提下,大家一起应对不确定性,通过共同协作、互相补位以实现更好的发展。
(2)不得罪人的信息安全团队,不是好的信息安全团队;把天下人得罪光的信息安全团队,也不是好的团队。
信息安全团队之所以要与开发、运维、科技管理等团队保持相互独立,就是要发挥检查和监督职能。如果处处做“和事佬”,生怕得罪人,不敢出具反面意见,信息安全团队只会“和稀泥”,难以体现专业能力。但是,如果时刻以“东厂西厂”的心态来工作,也会成为众矢之的,得不到大家的配合。因此,必须寻求一种平衡,把控住“度”,在守住风险底线的前提下,在关键问题上表达专业意见,在非关键问题上可以适当让步,大家互相妥协,达成一致的目标。
(3)君子和而不同,小人同而不和。
信息安全团队与其他团队共同做事的时候齐心协力,事情做完后大家互不影响,给对方独立的空间,这就是和而不同。比较好的做法是,心理上对别人和睦友善,但是在对待问题的观点上不会一味地附和别人,有自己的主见,能体现专业性。同而不和则恰恰相反,心底可能很嫌弃这些人或事,但在平时别人表达观点的时候为了使自己看起来和大家一致,而一味附和他人观点,这样的做法很难保持自己的独立性和专业性。
(4)风险管理必须以促进业务发展而非阻碍业务发展为目标。
信息安全团队不能一味与其他团队对立或总是“Say no”,而是要更多的思考,如何合法合规地帮助其他团队达成目标。要懂业务、懂开发和运维等科技的其他职能,要深入一线了解现场情况、了解一线的困难和资源状况,帮助他们想办法以最小的代价、最高的效率做到合规。如果只是在旁边观望、挑刺,指手画脚地要求整改,就很容易把自己孤立起来,得不到其他团队的支持。
(1)安全与开发
信息安全团队与开发团队,可能是“冲突”最多的两个团队。因为开发团队的天职是高效满足业务需求,如果需要更多地考虑安全控制要求,很可能导致逻辑控制复杂度更高,客户体验受到制约。
信息安全团队必须深入了解安全团队所面临的业务压力,以同理心对待,深入了解技术架构和业务逻辑,并帮助开发人员考虑如何采取最优方案,取得安全性和效率、客户体验的平衡。全生命周期的安全管理措施,制订起来复杂,执行更是艰难,所以信息安全团队要协助开发人员,针对不同安全级别的应用系统,采用不同复杂程度的安全开发基线,避免“一刀切”导致的资源浪费和项目周期延长。
(2)安全与运维
信息安全团队与运维团队,是目标最一致的两个团队,因为运维人员的天职也是风险控制。信息安全团队必须深入了解运维工作流程,理解每一项运维流程设计的必要性,掌握运维关键风险,并在日常工作中帮助运维团队发现风险,提出风险控制的措施,继而通过持续的检查,帮助运维团队巩固落实风险控制措施,降低风险隐患发生的可能性。
(3)安全与科技管理
信息安全团队与科技管理团队,在开发和运维管理的职能上可能会略有重叠。例如,有些安全整改工作同时也是科技管理团队制订的部门工作计划表中的任务,如果双头管理,会给开发和运维团队造成困扰,也会在整个部门的工作上形成重复浪费。所以安全团队应该与科技管理团队多沟通,对于同一件事情大家只开展一次,通过信息的共享实现高效管理。
另一方面,科技管理团队也会有风险。例如,信息科技治理的合理性、部内制度流程的合理性、预算和商务管理工作的合规性、IT资产管理的合规性等,也需要安全团队来检查把关。信息安全团队还必须懂一些科技管理、财务和资产管理等知识,才能更好地发现科技管理中的问题并提出解决建议。
(4)安全与业务
信息安全工作是“后台中的后台”,与业务打交道的时候往往就是在“Say no”的时候,或者是主动出击对业务进行数据安全检查、培训教育、病毒防治等场合。所以业务人员对信息安全人员的感觉很可能是“见到就知道没有好事”。信息安全人员需要摆正心态,向业务人员耐心解释自己工作的出发点和价值。同时需要多学习一些业务知识和业务相关的监管要求,把握住“业务风险”和“科技风险”的边界,属于业务风险性质的决策权交还给业务部门,不要越界干涉,做出“吃力不讨好”的事情。
(5)安全与外包
外包风险是金融企业信息科技风险的重要组成部分之一,信息安全人员经常需要对外包风险进行检查和评估。对于外包人员的管理相对金融机构内部人员来说更难一些,因为没有绩效考核、薪酬奖惩的权利,而且外包人员流动性相对较大,外包风险的处置很可能治标不治本。
信息安全人员需要形成常态化的外包培训机制,经常性、分批次地对外包人员进行信息安全意识教育;对于外包团队的负责人要先开展教育,提高安全意识水平;在合同中增加条款形成法律性的约束,要求现场人员个人签署保密协议;日常检查频度需要提高,最好每月开展外包检查,确保工作长效机制的建立。
(6)安全与监管
金融机构的信息安全团队通常是信息科技部门与监管沟通的“窗口”,一定要掌握好与监管沟通的频率和方式方法。要建立定期沟通报告的机制,多参与监管组织的活动(例如培训、会议、课题研究等),平常就“多露脸”,使监管能了解本企业信息科技工作的亮点,不能等到出事了才第一次被监管感觉到“你的存在”。
针对本企业已知的风险,也需要根据实际情况适当向监管提前报备,同时提供自己的解决方案和整改计划,可以考虑向监管请教同业的实现方式,请他们直接指点,或者创建同业交流的平台,或者安排与相关领域先进同业直接的学习机会,这样就能争取到监管的帮助、支持和理解,减少“意外惊喜”的发生。
不管是与哪一类团队的沟通,信息安全团队都切忌把自己当作局外人,而应设身处地地站在对方角度考虑问题,把发现问题当作双方的目标而非仅仅信息安全团队的绩效,把问题整改当作双方必须共同达成的任务而非仅仅其他团队单方面的工作。这样方可建立良性的沟通机制,从而使得信息安全工作机制得以有效运转。
本章从信息安全团队建设的“痛点”出发,详细介绍信息安全团队文化建设、意识建设、能力建设、实现步骤、绩效体系建设等,探讨了信息安全从业人员的职业规划路径以及与其他团队的关系处理技巧,可以作为安全团队建设的参考。
随着信息安全技术的蓬勃发展,各个厂家推出了很多功能齐全的产品,金融企业也热衷于使用技术产品来进行防护,但是“技防”永远无法完全取代“人防”的作用,往往花费大量经费建设了很多系统,很大程度上抵挡了从企业外部发起的安全攻击,但对于因内部人员安全意识薄弱而导致的有意或无意的信息泄密,却很难完全避免,所以需要在严格的管理流程、严密的技术控制基础上,形成体系化的安全培训机制,提升内部人员的安全意识水平,才能达到综合化、一体化的防范效果。
安全意识就是“对风险的感知和主动规避”。在个人信息安全意识方面,企业员工普遍有一种“迷之自信”,就像90%的司机都认为自己的驾驶水平高于平均水平一样。但实际上,企业员工的安全意识水平与企业的真实需要之间,往往存在着巨大的鸿沟。
我们来看几个因为信息安全意识不足,导致金融企业直接损失或面临重大声誉风险的真实案例。
2012年央视3·15晚会,曝光了一家大型商业银行、一家全国性股份制银行的内部员工,通过中介向外兜售客户个人信息将近3000份,造成3000多万元经济损失的严重事件,对银行的声誉也造成了严重的负面影响。
从表面上看,是商业银行内部员工直接获取客户资料并用于牟利。但究其原因,是商业银行对客户敏感信息的管控要求松懈,员工保密意识、法律意识淡薄。此外,商业银行的数据保密措施及要求存在漏洞,内部员工可以获取大量的客户敏感信息,容易造成有意识(贩卖数据)或无意识(未做好数据保密措施导致数据丢失)的保密信息泄露事件发生。
某年某月,某金融机构工作人员因管理疏忽,不慎遗失了一份本机构交易系统的密钥,如不法分子拿到该密钥,即可截获破解所有交易信息和客户交易密码,给客户造成重大损失。该机构领导接到报告后,立即指示启动密钥更换工作并在最短的时间内完成,避免了客户资金损失;业务风险防范预案也相应启动,避免了因客户资金损失投诉、媒体舆情报道等带来的声誉风险。
虽然该事件最终没有造成实质性的损失,但潜在的风险隐患和内部付出的管理成本是巨大的。
2014年,总部位于美国的某全球知名银行,其高级管理人员为方便工作,开通在家VPN访问内部敏感数据的权限。黑客在攻击该银行的过程中发现该情况并马上在该高级管理人员的家用电脑上植入木马。通过遥控该木马,黑客实现“青蛙跳”进入银行内网,成功窃取了1.4亿个客户的信息,给该银行造成了巨大的损失。
2013年,韩国某银行的某员工误打开一封黑客钓鱼邮件并被植入木马,因该行并未限制办公电脑对互联网络的访问,黑客立刻远程遥控该员工电脑并相继攻破部分客户服务系统,在获取海量客户数据后格式化大部分服务器硬盘,造成该行业务完全瘫痪。
2014年,某金融企业的部分员工收到了一封来自“Admin”发出的邮件,自称是OA系统的管理员,因为系统升级,需要大家修改用户名和密码,邮件中同时附上了一个网页链接,点击进去后出现用户名、原密码、新密码的输入框。由于该金融企业采用域用户单点登录OA系统和其他内部信息系统,所以该事件造成了几十个客户的域用户名和密码泄露,也就意味着伪装成OA系统管理员的攻击者获取了几十个员工的域用户名和密码,可以登录桌面终端和几乎所有的内部应用系统。幸好该事件在半天内被发现,该金融机构信息技术部门迅速采取行动,通知所有登录过该链接的员工主动修改密码,阻止了后续攻击事件,避免给企业造成实质性损失。
2016年,某金融企业信息科技部门突然收到财务总监(CFO)的电话,其办公电脑突然变成蓝屏,上面有一些英文提示,大意是该电脑中的所有资料已经被加密,需要在五天之内向某国外银行账号缴纳大约相当于人民币6000元的赎金,就可以拿到解密的密钥。
后来查明,该财务总监曾收到过一封标题类似“应收账款”的邮件,以为是供应商催款,但在点击执行附件后,屏幕就不幸中招了。由于缴纳赎金后是否能解决问题尚且是个未知数,该财务总监只好忍痛割爱,让科技人员重装了电脑操作系统,该电脑上所有的历史资料全部丢失。
上面几个案例,都是金融企业员工信息安全意识不足导致的教训,也说明提升员工信息安全意识,减少信息安全事件的发生,对于金融企业来说多么重要。
金融行业是直接面向客户且直接与金钱打交道的行业,金融行业员工信息安全意识水平的高低,直接影响信息安全工作的成败,对客户信息和客户资金的安全至关重要。通过信息安全培训提高金融企业员工的信息安全意识水平,将全员信息安全意识的点滴提升作用到具体的工作中,可以成倍地放大信息安全工作的效果。具体来说,金融企业信息安全培训的必要性体现在三方面。
金融企业是面向广大客户提供金融服务的行业,涉及的信息主要包括:
·与客户相关的信息,主要包括客户基本信息、客户账户信息以及客户交易信息等。这几类信息都涉及广大客户的个人利益和资金安全,互相之间环环相扣,任何一类信息的泄露,都可能对客户的资金安全造成威胁并对金融企业的声誉构成风险,严重的甚至会造成金融秩序混乱、经营活动无法正常开展。因此客户信息的保护成为金融机构信息安全管理工作的重中之重。
·金融企业经营管理活动相关的内部信息,包括战略规划信息、金融产品信息、经营活动信息及相关的报表报告等。这些信息代表了金融企业工作的发展战略、管理政策和营销策略等,能为企业带来经济利益,如果泄露,可能直接或间接影响企业的商业利益,造成金融企业的严重经济损失或经营风险。
金融企业的从业人员,或多或少都会直接或间接地接触到上述内外部敏感信息。大多数信息安全事件的发生都源自于员工主动或被动地泄露信息,员工信息安全意识的提升可以极大地减少安全事件中的内部人为因素,因此金融企业对于信息安全培训必须尤为重视,每位从业人员都需要认真学习、理解、执行信息安全管理规范,提升自身的安全意识,方能切实有效地保护金融企业的客户信息和内部信息。
决定一个企业信息安全防护效果的,归根结底还是在于人,人是信息安全中最核心的问题之一。任何的安全管理体系、安全技术、安全产品或服务,都无法保证每一个人远离每一种可能存在的安全风险。因为无论多么严密的管理体系,多么先进的设备,多么严谨的系统,多么完备的数据,如果普通员工的信息安全意识不足,专业人员的信息安全技能不足,都会导致管理流于形式,设备形同虚设,数据空中楼阁。
试想,一个严密的金融机构数据中心机房访问控制系统,如果门口保安无视规则、玩忽职守,随意放人进出,那么再多的安检、门禁、指纹或人脸识别等身份鉴别手段,又有何用?部署最先进的网络安全设备,如果不定期更新安全策略和规则库,不严格对服务器或者终端打上最新的补丁,黑客们岂不是仍然可以“如入无人之境”?再者,花大价钱部署了最佳的桌面安全防护系统,但员工点击了一个钓鱼网站,主动或被动对外发送他们认为无关紧要、实则非常重要而敏感的信息,一切都将功亏一篑。
上述种种情形,都将会给企业带来不可估量的损失。特别是对将信息流和资金流视为命脉的金融企业来说,如果信息安全专业能力不到位,信息安全意识不匹配,客户信息的安全、资金的直接损失,可能是时刻面临的威胁。
因此,员工信息安全意识水平的高低,直接决定了信息安全总体防护水平和信息安全管理工作的成败。通过提升各级员工和外部用户的信息安全意识,让安全专业人员掌握必要的技能,让普通员工养成安全习惯,让外部用户建立自我保护意识,是面对安全威胁的最佳方式。而要达到该目的,就需要在整个金融企业内树立信息安全意识,对各类人员建立针对性的信息安全培训方案,才能提高金融企业的整体信息安全防控水平。
根据信息安全研究机构的统计,在所有企业的信息安全事故中,只有20%~30%是因为黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄露造成的。
另外,国内一家信息安全专业咨询机构曾经对国内企业员工信息安全意识进行了一项调查,选取了一些基本的信息安全要求对企业员工进行问卷调查,结果如下:
·37.4%的受访者会直接或者简单询问后就让尾随的外部人员直接进入办公场所。
·36.6%的受访者会在办公桌面放密级资料。33%的受访者会在电脑桌面存放密级资料。
·56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里、锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
·接近50%的受访者选择不安全的设置电脑屏保、密码方式。选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
·当收到熟人发送的自动播放flash动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
从以上调查结果可以看出,超过一半以上的企业员工对基本的信息安全要求没有形成相应的意识和行动,企业信息安全工作面临着极大的风险隐患。
虽然没有专门针对金融企业员工信息安全意识调查的具体数据,但从近几年金融企业客户信息泄露、信息安全攻击事件时有发生的现象来看,金融企业的信息安全意识现状也是不容乐观的。
随着金融企业对信息安全的日益重视,大部分金融企业已经投入大量的资金购买安全技术,投入较为充足的人力用于安全管理体系建设,但是,在人员信息安全培训上却投入甚少,往往忽略了人是信息安全管理的最大威胁,人的安全意识薄弱是信息安全管理的最短板。随着业务迅猛发展,金融企业面临的信息安全风险压力越来越大,必须在信息安全培训上加大投入,提升全体员工的安全意识,才可以更好地化解风险。
随着各类信息安全事件的爆发,金融企业信息安全培训的重要性已经越来越得到重视,部分金融企业开始着手信息安全培训工作,但目前仍存在一些“痛点”。
· 未建立系统化的信息安全培训体系。 大部分金融企业的信息安全培训仍是零散的、随需而做的,尚未形成整体的、有机的、立体的信息安全培训规划,缺乏系统化的信息安全培训体系。
· 培训针对性不足,培训内容不接地气。 大部分金融企业信息安全培训需求分析不到位,经常是一套培训材料就“放之四海而皆准”,不能根据培训对象面临的常见问题和岗位特点定制培训内容,导致培训内容针对性不足,经常不接地气,员工往往“知其然而不知其所以然”,对日常工作不能起到直接的、实质性的帮助,培训工作因此变成了为培训而培训。
· 培训形式单一,内容枯燥,素材匮乏,资源不足。 大部分金融机构采用单一的课堂教学方式培训,缺乏日常碎片式、体验式的素材。枯燥的培训方式自然效果不佳,因此需要创新培训形式,激发员工的兴趣和自主性,促进员工利用碎片化时间主动学习。
· 培训参与度不高。 大部分金融企业的员工都非常忙碌,如果不能正确认识到信息安全培训对他们工作的帮助作用,占用正常工作时间的信息安全培训往往变成了迫于无奈、枯燥无味的“工作任务”,培训过程就成了应付式的参与,能不参加就不参加,即使参加了也是“身在曹营心在汉”,导致培训效果大打折扣。
· 未建立培训效果的考核机制。 大部分金融企业的信息安全培训仅仅有个调查问卷或者随堂测验,未建立起有效的量化考核机制。对于培训内容是否得到执行,安全意识是否有提升,是否作用到金融机构员工的日常工作中,都没有衡量机制。因此需要通过一些技术手段、检查手段、考核机制来促进培训内容的落地执行。
解决上述“痛点”,需要对症下药、因材施教,形成一套覆盖全面、形式多样的信息安全培训体系。可以参考以下步骤实施:
1)确定培训关联方,一方面明确培训对象及核心诉求,另一方面选择合适的培训师资力量。
2)确定培训内容、培训方式和培训时机。
3)建立系统化、岗位针对性强的信息安全培训体系,形成面向对象的信息安全培训矩阵。
4)建立培训效果衡量和考核体系,根据结果优化改进培训体系,形成螺旋上升的长效机制。
一个行之有效的培训体系,首先需要安排好培训的双方,一方面是培训的接收方(即培训对象),要清晰地了解不同培训对象的诉求并明确培训主题和培训重点;另一方面是培训的授予方(即培训老师),要针对不同的培训对象和培训主题合理地安排培训老师,方能起到良好的效果。
金融企业的高管、中层管理者、业务部门工作人员、信息科技人员、行政综合人员等,这些不同工作岗位的人员,由于工作职责、岗位能力要求有差异,接触的信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案,将有效地降低工作中蕴含的风险隐患。
(1)金融企业高管
金融企业高管应该首当其冲地成为信息安全培训受众。原因主要有两方面:一是金融企业高管接触的信息面广、层次高、敏感信息多,而由于工作忙碌往往容易造成对信息保密的疏忽,因此常常成为“性价比最高”的重点攻击对象;二是金融企业高管接受信息安全意识培训,可以对全员信息安全意识提升起到表率作用,带动全员重视信息安全、尊重信息安全的氛围。
金融企业高管的信息安全培训,重点应该放在信息安全战略和信息安全意识宣导方面,应该帮助高管了解金融企业信息安全战略方向、信息安全相关法律法规、主要的信息科技监管要求和监管趋势、金融科技时代下信息安全新形势和管理新特点、信息安全组织架构、金融企业信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等,为金融企业内部推行各类信息安全和风险控制措施奠定基础。
(2)中层管理者
金融企业的中层管理人员,是“承上启下”地执行战略和政策的中坚力量,如果对信息安全理解到位,既可以很好地贯彻执行企业的信息安全战略,也可以带动基层员工们主动落实信息安全防护措施,监督措施执行到位。
中层管理人员的信息安全培训,应侧重于信息安全基本概念、信息安全相关法律法规、信息科技监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面,使他们理解什么是信息安全,为什么要重视信息安全,本人管辖领域内哪些工作会涉及信息安全,以及怎样做好信息安全风险防控。
(3)所有部门基层员工
基层员工是直接从事信息采集、传输、使用的人员,是信息安全政策和具体措施的执行者。由于基层员工数量众多、接触的具体信息丰富,很容易被打开突破口,成为最容易泄密的群体。
基层员工的信息安全培训,应侧重于银行信息安全相关的制度和流程的具体内容、与信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面,目的是帮助基层员工树立信息安全保护的理念,提高合规操作和风险防范的意识,掌握具体的信息安全风险防控技能,降低因员工工作疏忽、操作不规范或有意泄露而造成的威胁。
(4)信息科技员工
信息科技部门的员工,是信息安全政策落地的核心力量,更是信息安全管理和技术措施的直接执行者和捍卫者。这个团队的信息安全水平,在很大程度上影响了金融企业的信息安全整体水平。
信息科技部门各个不同团队的信息安全培训,有不同的侧重点:
·对于开发测试人员,应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等。
·对于运维人员,应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等。
·对于信息安全岗员工,是信息安全培训体系的制订者和维护者,一方面应该掌握设计信息安全培训体系的方法,另一方面应接受有关监管趋势及要求、风险评估、安全检查知识和技能、信息安全技术工具的策略和操作技能等方面的培训。
(5)外包人员
金融企业存在大量的外包工作,出于成本节约和人员编制的考虑,一方面,业务部门需要将后台集中作业流程、借记卡和信用卡申请资料录入、催收和外呼等附加值较低的工作外包给成本较低的专业团队执行;另一方面,科技部门有大量的开发任务需要外包给科技公司完成,个别金融企业还会将部分运维工作外包。外包人员可能接触到金融企业的客户信息、系统开发和设计文档等大量的敏感信息,需要接受信息安全培训。
外包人员的信息安全培训,应侧重于金融企业外包制度和流程的具体内容、金融企业信息的分类和信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面,使外包人员树立信息安全保护意识,了解信息安全行为失当导致的严重后果,提高日常工作的合规性,产生对信息安全的“敬畏之心”。
(6)外部用户
大量的事实表明,很多的风险案例是由于客户对个人客户信息(例如用户名和密码等敏感信息)保管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。因此,加强对客户及其他外部用户的信息安全意识教育和宣传培训,显得极其重要。
外部用户的信息安全培训,应侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等,甚至可以通过短视频、安全段子等生动活泼、通俗易懂的方式,让客户对信息安全保护相关内容印象深刻,引以为鉴。
综上所述:
·一个信息安全意识强的金融企业高管,可以带来更好的对内信息安全政策,对外更谨慎的信息披露。
·一个信息安全意识强的中层管理者,可以承上启下地做好信息安全防控措施的落地执行。
·一个信息安全意识强的业务人员,可以更好地保护客户信息,需求中的业务风险控制要求会提得更为充分。
·一个信息安全意识强的开发人员,可以有意识地对应用系统设计开发更合理的安全控制措施,减少应用漏洞发生。
·一个信息安全意识强的外包人员,会在数据处理或系统开发时自觉遵守金融企业的安全要求,不越权操作或泄漏敏感信息。
·一个信息安全意识强的金融企业客户,会在面临电信诈骗或钓鱼攻击时保持清醒,避免上当和蒙受损失。
信息安全培训对于金融企业各级员工、外包人员、外部客户的帮助是显而易见的,需要当作一个整体的培训体系来设计和实施。
针对不同的培训对象,培训师资的选择也应该有所区别。总体来说,有以下几种培训师资可供选择。
(1)内部信息安全人员企业内训
针对基层员工和外包人员,由企业内部的信息安全人员开展内训是较好的选择,因为信息安全人员对于本企业内部的信息安全情况了解最为深入,非常清楚应该保护的信息主要有哪些,对规章制度、主要风险心中有数,可以结合日常信息安全检查工作中发现的具体风险事件案例,剖析产生风险的原因、应对措施等,并针对操作性要求进行详细的分析和讲解,做到有的放矢。
(2)外聘讲师开展企业内训
针对企业高管、中层管理者,基于“外来和尚好念经”的原则,以及对监管趋势、同业案例更为了解的要求,外聘讲师入行培训是一个更优的选择。
在讲师的选择方面,要特别注意讲师的实际信息安全工作经验。纯理论的讲解难以深入人心,必须理论联系实际,因此最好选择曾经制定过金融行业信息安全标准、在金融企业做过咨询等工作背景的讲师,才能准确把控监管机构对金融企业和管理者的要求,以及准确选取同业曾经有过“切肤之痛”且跟企业现状最为匹配的案例。
(3)外出参与团体培训
针对信息科技部门的开发、运维和信息安全人员,适当外出参加团体性的专业类培训不无益处:一方面,可以开拓眼界,提升自身专业水平,有利于回来转训;另一方面,可以创造机会与同业交流,扩展自己的知识面和人脉资源。
要保证培训效果,培训机构的选择至关重要。由于金融行业信息安全管控标准普遍高于其他行业,因此建议选择专门面向金融类从业人员的培训机构,更为了解金融行业的特点、信息安全工作的重点以及信息科技相关监管要求等,行业内的交流也可以更加深入。
(4)聘请专业组织优化培训材料
针对金融企业的广大客户,只能通过金融企业的分支机构、电子渠道等方式触达客户,因此需要在金融企业内部人员设计的培训内容及案例的基础上,寻求一些专业的培训设计公司,对培训的形式、内容进行一定的优化,提高可读性和趣味性,确保客户能够理解培训内容,从而提高客户信息安全意识。
信息安全培训对象、师资力量确定后,就可以针对不同的培训对象,定制差异化的培训内容,利用不同的培训形式,选择适当的时机开展培训。
金融企业信息安全培训的内容可以分为专业知识、实用技能、安全意识三大类。考虑到第5章已经详细地阐述了信息安全专业人士应该掌握的知识和技能,本节重点针对非信息安全专业人士的培训内容进行分析。
(1)专业知识
对于非信息安全专业人士来说,需要掌握的信息安全知识主要包括:
·法律法规关于信息安全管理的要求。
·主要的与信息安全相关的监管要求和行业标准。
·信息安全管理体系的基本概念和管理要点。
·信息安全规章制度和流程中的重点要求。
·信息安全的基本定义(CIA三性)、主要内涵、关键风险及对策等。
·信息的分级分类和每个级别对应的安全管控措施
。
(2)实用技能
对于非信息安全专业人士来说,需要掌握的信息安全实用技能主要包括:
·对于业务人员,需要防钓鱼、防信息泄漏、邮件安全、密码安全、文档保密等基本的防护技能。
·对于信息科技开发人员,需要安全开发的概念和主要要求。
·对于信息科技运维人员,需要安全运维的概念和主要要求。
·对于所有人员,需要信息安全应急管理与业务连续性管理实践技能。
(3)安全意识
与安全意识相关的主要内容包括:
·同业主要信息安全风险事件案例的现象、原因分析和应对措施分析。
·金融机构最为常见的客户信息泄露、密码泄露、病毒木马、电信诈骗等手段及对应的防范措施。
培训需求分析的目的是,针对培训对象挑选出适当的培训内容,确保培训的效果能够满足企业对员工信息安全意识水平的要求。培训需求分析是培训的首要和重要环节,如果需求分析做得不到位,可能导致南辕北辙。
信息安全培训内容包罗万象,不是越全越好,也不是内容越专业越好,所谓“适合的就是最好的”,所以必须根据培训对象的需求、知识结构、技能状况、当前信息安全意识水平等因素做出合适的选择,因材施教,方可达到最好的效果。确定培训需求的方式主要有:
·访谈。一方面,可以通过与管理层访谈,获取对培训对象的期望;另一方面,与培训对象的代表访谈,了解其关于信息安全领域的“痛点”和期望达到的效果。访谈可以设置一些封闭性的和开放性的问题来开展。
·培训需求调查问卷。以问卷形式列出一组问题,可以包括封闭性问题和开放性问题,要求调查对象就问题进行打分、做选择或者给出描述性回答,调查问卷可以全员参与。
·员工安全意识水平测试。通过一些简单的测试题,或者专业培训机构提供的测试软件,获知培训对象的信息安全意识水平、主要短板等,从而有针对性地设计培训内容。
培训需求分析结束后,就需要结合当年的培训预算,确定具体的培训内容、培训方式和培训计划。
金融企业既可以采用现场培训、交流会议、知识竞赛等方式面对面开展培训,也可以采用Elearning电子学习平台、安全意识动画、电子期刊、宣传海报、桌面温馨提示等多种生动、直观、鲜活的宣传培训方法,寓教于乐,提升培训效果。还可以采用安全竞赛的方式,提高员工主动参与的积极性。
(1)现场培训
现场培训是最常见的一种集中开展的培训形式,优点是大家精力比较集中,交流较为充分,在主题的选择上可以更为聚焦,讲解上可以更为深入。以下是两种常见的现场培训方式:
·专题培训。选择几个最重要的信息安全主题,在深度上下功夫,把信息安全知识讲到位、讲透彻。针对高管层、管理者等对信息安全知识涉及面很广的培训,以及针对开发安全、运维安全等比较有深度的培训,都适合采用这种方式。
·交流会议。选择一些实践经验比较丰富的机构,现场做案例讲解,也可以针对金融机构内部的常见问题,由信息安全团队进行综合分析后讲解。对于金融企业内部涉及多个分支机构、多个部门,面临的信息安全环境和防护措施具备一定相似性的培训场景,适合采用这种方式。
(2)Elearning在线培训
Elearning在线培训(如图6-1所示),由于3A(Anytime,Anywhere,Anyway,任何时间、任何地点、多种方式)的特性,因此最适合针对全员的培训。
图6-1 Elearning培训示意
与现场培训不同,Elearning在线培训更适合普及性的、内容相对简短的培训,推荐的方式是选择一些重要的知识点,用案例的方式生动活泼地表现出来,其中再穿插讲解风险要点、规避措施和管理要求。例如,可以选择办公安全、客户信息保护、邮件安全、密码安全、文档保密等与所有员工都密切相关的主题,开展信息安全意识动漫制作及宣传教育,使员工们时刻牢记“安全无小事”,将日常信息安全行为规范转化为个人习惯,并长期持续地坚持下去。
(3)开办内外部信息安全专栏
信息安全专栏可以向内外部客户提供专业化、有深度的信息安全服务,引起内部员工和外部客户对信息安全的重视,主动学习各种技巧以防范可能随时面临的风险。主要形式有:
·内部专栏。在内部门户系统或办公自动化系统中开设信息安全专栏(如图6-2所示),随时发布与信息安全相关的内容,例如,主要的信息安全法律法规要点,国家层面关于网络安全防范的重要战略和指示精神,监管新动向,新发生的信息安全事件及防范措施等,提供一个方便的渠道以便员工学习和了解。为了拓展专栏的内容,可以举办征文大赛或者设立特约撰稿人,以保证来稿的数量和质量。
·外部专栏。在金融企业的微信公众号上,发布与信息安全意识相关的文章、图片、视频等,重点是向客户宣贯一些与信息安全相关的小案例、风险防范小技巧等。特别是可以结合一些热点新闻(如电信诈骗事件、网络钓鱼事件、客户信息泄露事件导致资金损失等),深度挖掘并向客户详解事件发生情况,提供图文并茂的实用防范技巧。所有外部专栏的内容,均可以通过微信群转发内部员工分享。
图6-2 某公司信息安全专栏课程
(4)以赛代训
以赛代训的优点是避免枯燥的、教条主义的灌输和说教,通过竞赛的方式,提高培训对象的参与度,调动培训对象的热情,从而加深印象。可以考虑的竞赛方式包括:
·合规知识竞赛。针对信息安全知识和技能要求,设计一些形式活泼的考题,例如,判断题、单选题、多选题、案例题等,通过分组比赛的方式,安排必答题和抢答题等形式,强化员工们对信息安全工作要求的理解,激发员工对信息安全知识和技能的学习热情,进而提高全体员工的信息安全风险及合规意识,营造良好的信息安全风险管控和合规工作气氛。
·信息安全创意作品大赛。通过不限形式的作品征集,鼓励全员参与竞赛,采用征文、摄影、视频、诗歌、宣传画报、漫画等各种各样的创意形式,表达信息安全意识宣传的主题,从而调动全体员工主动思考如何开展信息安全风险防范,并用通俗易懂的形式表达出来,往往能产生“高手在民间”的意外惊喜。最后的奖项设定也可以采用全民投票+专家评定的方式得出,促使全员认真研读参赛作品,无形中接受了信息安全意识培训,潜移默化地提升了信息安全意识水平。
·微信游戏比赛。通过在微信中设置一些信息安全小游戏,例如,答题闯关、有奖查漏、双人PK等方式,使大家在“玩中学、乐中学”,营造大家对信息安全的参与感。
·CTF攻防大赛。这是针对信息安全专业人员的一种竞赛方式(如图6-3所示)。CTF(Capture The Flag),直译为“夺旗比赛”,源于1996年举办的DEF CON全球黑客大会,该比赛是目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。随着金融企业安全攻防技术的发展,比较有技术实力和前瞻性的金融机构已经开始自行举办或者参与行业内的一些CTF比赛。比赛规则中设计了漏洞查找、问题解答、安全加固、相互攻击等模式,采用实战性的方法,可以快速训练和提升信息安全队伍的专业技能。
图6-3 Facebook Capture The
(5)信息安全实战演练
信息安全实战演练,采用“真演实练”的方式,模拟一些真实的攻击场景,检验员工的信息安全意识和面对攻击的应对水平。这种“以练代训”的培训方式,可以给员工真实的体验和深刻的教训,因此得到了越来越多的重视和实际应用。
由于面向全员开展,对于信息安全意识薄弱的员工可能会形成一定的“侵入式”干扰,因此在正式演练前,需要做一些准备工作:首先,要争取高管层面的支持、认可和授权;其次,应制订详细的演练方案,并在全员层面做好提前宣贯;再次,选择合适的演练启动方式,第一次最好采用“事先通知”模式,之后可以逐步试行“突然袭击”模式;最后,选择合适的演练场景。
适合全员信息安全实战演练的场景主要包括:
·钓鱼邮件和病毒木马。可以针对不同对象采用不同的钓鱼邮件内容,例如,冒充系统管理员“Admin”给全员发邮件要求修改密码,以盗取原账号和密码;冒充合作公司,提交带病毒木马的文档资料或合作方案;冒充人力资源部员工,以“调薪方案”或“工资明细”等为主题,传播带病毒木马的附件等。通过分析演练结果,披露被“钓鱼”的员工比例,揭示钓鱼邮件的主要特征、攻击过程和常用手法,提醒全员警惕钓鱼邮件风险,学习、理解并运用钓鱼邮件的防范手段,防止个人敏感信息泄露和被误导安装病毒木马。
·社会工程学方式。除了钓鱼邮件这一常见社会工程学的方式外,还可以采用假冒角色的方式,骗取敏感信息。例如,冒充上级或同事,向员工索取用户账号和密码;冒充金融企业的高管层向有机会接触敏感客户信息的员工索要客户信息等。通过这些案例,提醒员工警惕社会工程学攻击,防范“潜伏”在身边的风险隐患。
·撞库测试。在互联网上收集一些已泄露的账号密码,在行内系统开展撞库测试,检验行内用户账号和密码是否与被泄露的结果一致,提醒员工要对密码进行分类设置和管理。
·弱口令。采用类似员工姓名+生日、“password123”、纯数字等常见的弱口令,测试密码的强度,防止员工设置弱密码导致的风险。
各项实战演练结束后,应该做一些专题的案例分析,一方面详解攻击原理和过程,另一方面向员工宣传正确的防范措施,必要时可邀请在演练中“不幸中招”的人现身说法,呼吁大家引以为戒。
(6)信息安全活动宣传周、信息安全活动宣传月
近几年国家网络安全宣传周(如图6-4所示)和各省的网络安全宣传周办得如火如荼,促使金融企业、广大客户都更加重视信息安全,参与信息安全建设和宣传工作。
在金融企业内部,可以借势开展自己的信息安全宣传工作,也可以组织自己的信息安全活动宣传月,通过视频、画报、宣传手册、有奖知识问答、微信或微博展示等各种各样的形式,向全行及外部客户推广、宣传信息安全理念,提升信息安全意识,防范信息安全风险。
(7)无处不在的安全宣传
信息安全意识宣传必须“抬头不见低头见”,方可提高信息安全的“存在感”,起到更好的宣传效果,促使大家在日常工作中时刻注意信息安全。
图6-4 国家网络安全宣传周
例如,在电梯口的视频电视中持续播放信息安全意识宣传动画,在食堂墙报上张贴信息安全意识的口诀或者漫画(如图6-5所示),在过道拉起信息安全意识的宣传“易拉宝”,在办公环境中的会议室、文印室、办公座位,张贴“信息安全温馨提示”,在办公电脑的桌面屏保推送“信息安全宣传口号”或者“信息安全宣传墙纸”,人手一册发放有安全知识的笔记本等,都是金融企业可以参考的宣传方式。
图6-5 安全小贴士
(8)定期发送风险提示
针对防钓鱼、弱口令、外发邮件安全、客户信息保护等常见的信息安全风险,可以制作一些风险提示或者电子期刊,结合实际案例,讲解这些信息安全风险的常见表现、解决措施等,主动推送给企业内部员工和外部客户,让大家从案例中吸取经验教训,避免重蹈覆辙(如图6-6所示)。
图6-6 定期通过热点事件发送风险提示
(9)信息安全智能机器人系统
信息安全智能应答机器人,是参照智能客服的模式,以人工智能技术构建自动客服系统。建立信息安全智能知识库,涵盖信息安全基础知识、信息安全制度、信息安全案例、信息安全风险防范技巧等丰富的内容。面向金融企业全体用户提供与系统直接进行文字和自然语言对话的途径,帮助用户用最快的方式获取信息安全相关的知识。此外,在通过“智能应答机器人”平台进行信息安全知识宣贯的基础上,还可以形成专用的信息安全知识订阅号,主动推送宣传信息,与用户形成互动。
(10)外部提供的信息安全培训组合服务
金融企业特别是中小型金融企业的信息安全专业团队普遍存在人力资源不足的情况,能完成基本的信息安全工作已经颇为不易,自主组织和设计各种信息安全培训方案更是一种“奢求”。因此,购置第三方信息安全培训组合服务,可以作为金融企业信息安全培训工作的有益补充。
信息安全培训组合服务可提供定期的信息安全宣传材料,由于培训机构的产品化设计和专业化能力较强,可以制作出内容丰富、形式多样的培训材料,定期推送给员工,引导和影响员工的信息安全意识行为,最终达到提高整体信息安全意识水平的目的。培训机构可以通过信息安全动画、宣传片、视频课程、宣传画、知识手册、屏保、电子期刊(如图6-7所示)、现场培训等多种形式提供培训组合服务。
选择信息安全组合服务,最重要的是培训机构必须具备丰富的信息安全管理经验和信息安全培训服务实践能力,拥有具备信息安全专业资质和丰富信息安全培训经验的专业培训师资,且在金融行业承担过较多的信息安全培训服务,能深刻掌握金融行业信息安全的关键风险点和防范措施。
图6-7 免费订阅网络安全意识期刊
(1)全员每年例行培训
针对企业全员,每年需要例行开展一些培训,在主题和重点上可以轮换。例如,每年固定一个时间(例如在企业级工作会议或者企业级科技工作会议上)开展信息安全现场培训或者交流;每年固定一个时间(例如每年第三季度开始),组织全员参与Elearning在线培训等,使大家“温故而知新”,始终对信息安全“绷紧一根弦”。
(2)员工入职马上培训
对于新入职员工,在入职后一个月内需要开展信息安全培训,最好采用现场培训的方式开展,使新员工熟悉了解信息安全管理的必要性和重要性、信息安全相关的基本概念、企业关于信息安全管理的基本原则、主要的规章制度要点、不能触碰的“高压线”和“底线”、违反信息安全规定的惩罚措施等,并通过案例学习掌握金融企业关于信息安全管理的基本要求,以帮助新员工在进入企业之初就了解企业的信息安全文化和信息安全管理原则,初步掌握信息安全相关的基本知识与技能,养成良好的安全习惯,在工作中注意遵守信息安全管控要求。新员工的信息安全意识培训考核结果,可以与员工的转正相结合。
(3)高危人士时常培训
针对接触企业大量数据的信息科技人员、接触大量客户敏感信息的营销人员、掌握战略或人力资源管理等内部信息的关键岗位员工等“高危人士”,需要加大信息安全培训的频率,至少每半年接受一次培训,部分内容可以一直重复、常讲常新,部分内容可以根据当前形势与时俱进,提醒这些人士时刻警惕风险,防范主动或者被动的信息安全风险。
(4)专业人士专场培训
针对信息科技开发、运维、安全等直接从事信息安全风险防范工作的人士,要定期组织专场的培训,可以内训也可以参加外训,深入学习最新的信息安全技术和理论知识,形成体系化的知识结构,在工作中实践运用。
(5)特殊事件重点培训
在出现安全事件等特殊情况后,必须立即开展案例分析,分析事件发生的原因、影响、后续措施等,着重分析采取何种措施可以避免今后发生类似问题。将这些问题分析透彻并在内部尽可能大的范围内实现共享,就可以避免重蹈覆辙。
所谓面向对象的信息安全培训矩阵,就是将信息安全培训对象、核心诉求和培训“百宝箱”组合在一起,建立信息安全培训课程和培训对象之间的二维表格,针对不同的岗位设置不同的信息科技风险知识和技能要求,明确每一类培训对象应该参与的培训内容,确定培训形式及时长等。
要建立培训矩阵,建议遵循以下三个步骤:
1)分析培训矩阵的第一个维度“培训对象”,将培训对象的分类作为横轴。
2)分析培训矩阵的第二个维度“培训内容”。针对培训对象开展调研,通过代表性人物访谈、调研问卷、安全意识测试等方式,广泛征集各类培训对象关于信息安全的培训需求和对信息安全培训形式的建议。综合建议后形成培训内容、形式、资源、时长等,作为纵轴。
3)建立培训对象和培训内容之间的对应关系,形成培训体系的二维矩阵,每个培训对象的培训计划均可以从矩阵中筛选出来。再结合当年的培训预算、培训覆盖人群目标等,形成年度的培训计划。
以下是一个典型信息安全培训矩阵的示例,如表6-1所示,针对不同的培训对象,确定不同的培训内容,综合所有的培训内容,形成一个良好的培训体系。根据年度工作安排补充上时间维度,全年的信息安全培训工作规划就出炉了。
信息安全培训矩阵的建立,将一个个零散的、单点的、相互独立的信息安全培训课程,综合形成覆盖面完整的、系统化的、有针对性的、层次分明的信息安全培训体系,每一项培训都是整体规划的一个重要、有机的组成部分,整个培训规划涵盖了从基础到专业的不同内容,满足了各个层级、各类人群的不同需求,促进金融机构全员信息安全知识和技能的全面提升,可以达到良好的目标效益。
表6-1 信息安全培训矩阵
一个培训结束后,培训对象是否学习理解到位,往往隐性的,很难用量化的指标来检验。因此,培训效果衡量一直是培训工作的大难题,信息安全培训工作也不例外。培训后的考试是一种常见的检验方式,但通常只能衡量培训对象对于知识的当堂掌握情况。而是否可以将知识和实用技能应用到工作中,才是培训的真正目的所在,因此对实际应用效果的衡量,才是检验培训效果的最好方式。
培训效果评估指标(如表6-2所示)可以从以下几方面来设计:
·衡量培训组织情况,可以建立衡量培训计划执行情况和覆盖范围的指标,包括培训计划执行率、培训覆盖率(又可以包括全员培训覆盖率、新员工培训覆盖率、外包人员培训覆盖率等几个细分指标)。
·衡量直接的培训效果,可以建立衡量培训对象对培训内容中涉及的理论、概念、技术等学习掌握程度的指标。一般先组织笔试,然后将笔试结果作为衡量因素,可以设置的指标包括培训平均分、培训合格率等。
·衡量培训执行效果,可以通过日常信息安全检查工作的结果来衡量。指标包括“信息安全日常行为抽检合格率”“制度执行抽检违规率”“信息安全泄密事件”“重大信息安全责任事件”等。
表6-2 培训效果评估指标
设定或选择以上指标后,给每个指标设置一定的权重,加权平均计算出的综合结果,就可以衡量一个金融机构信息安全培训取得的整体效果、信息安全意识水平情况,以及信息安全要求落地执行的成效。必要情况下,可以与员工所在部门、员工本人的绩效挂钩,将上述指标量化结果转化为部门、个人的考核指标,从而提升全员对信息安全培训的重视程度,提高培训效果。
本章从信息安全培训的必要性出发,通过案例说明了信息安全意识不足的深刻教训,分析了信息安全培训对象的核心诉求,并从培训内容、培训需求分析、培训形式、培训时机等方面详细讲解了实战技巧,最后构建了面向对象的培训矩阵,并设计了实施效果衡量指标。