商业银行信息科技风险中的人员安全问题研究

银行业关乎国家金融安全、社会经济秩序和中国梦的实现,也是国家重点监管的行业,在安全风险的控管上无疑也走在前列。

信息科技在银行业的使用越来越广泛,由此带来的信息科技风险也逐渐升温,成为各商业银行科技部门要面临的重要问题。信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它着重于信息科技领域,和传统的专注于业务、信贷、市场、操作和内控等方面的商行风险管理在范围上是不同的,但是毕竟都是为了业务安全而服务,所以也是有关联的。

说到信息科技的风险管理,人们往往会想起风险评估相关的识别、计量、监测和控制。昆明亭长朗然科技有限公司金融业信息安全高级顾问James Dong说:在信息技术安全领域里,从业人员更多关注的是信息系统的安全性,比如进行漏洞扫描和渗透测试等;即使从业界多个信息科技风险管理模型来看,重点似乎在信息资产的风险领域,显然只停留在“技术”层面,比较忽视“流程”和“人员”两大要素,远远不够全面。

中国银行业监督管理委员会颁布的《商业银行信息科技风险管理指引》无疑是商业银行对信息科技风险进行有效控管的官方指南,其中特别强调了信息科技治理、风险管理和信息安全中的人的因素,我们今天就翻开这份政策性的指引文件,来谈一谈和人员安全相关的风险管理问题。

信息科技治理章节的重点是信息科技风险管理的组织架构和人员职责,商行的法人是第一责任人,而董事会的职责包括:规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识;确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训;设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会。在信息安全领域,往往组织机机的法人是第一责任人,这并不是要什么事情都要法人亲自去做,但是法人才有足够的权力来推动。而在公司治理方面,董事会要把握好企业信息安全文化建设方面的大方向,要负责各项职责落实的监督工作。信息科技管理委员会成员之间虽然不是直接的汇报关系,却是沟通董事会、高级管理层、IT部门以及主要业务部门的一个关键机构。

信息科技治理章节特别提到首席信息官CIO的职责——需要组织专业培训,提高人才队伍的专业技能;也要求商行设立或指派一个部门负责科技风险管理工作并直接向首席信息官或首席风险官(风险管理委员会)报告。实际上,工作的重担,也就是大部分组织和协调工作要落实到这个部门中,往往由信息安全部门及各IT职能部门的主管经理组成。

我们要特别注意在信息科技治理章节中的第九条:商业银行应对信息科技部门内部管理职责进行明确的界定;各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新。指引也在其后给出了四项人员风险防范相关的措施。这并非局限于人力资源管理领域的工作职位描述,而是专注于日常工作的操作流程及作业指导书。传统上,相对于重复性较强的业务部门,很多IT部门在内部流程和操作记录上并不完善,特别是在变更控制方面不足,这是众多人为原因引起的信息科技事故的主要原因。

在信息科技风险管理章节,则略略提及了商业银行应制定全面的信息科技风险管理策略,其中包括人员安全领域,以及离不开人员参与的风险识别、评估、应对、计量及监测等等风险管理流程。我们可以看到几乎所有的行业都遵循经典的信息安全风险控管策略以及PDCA模型和方法等等。

在信息安全章节,则依据信息安全管理体系国际标准要求商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。也有要求商业银行信息科技部门建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,并建立必要的信息安全标准、策略、实施计划和持续维护计划。当然,这些策略的领域也是遵循信息安全管理体系国际标准,包含人员安全管理。

在第二十六条,为确保信息系统的安全,还要求商业银行应该明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。在第三十一条,要求商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。这里面特别区分了终端用户和信息科技技术人员,的确,终端用户在信息安全方面所面临的职责没有IT人员多,但是终端用户数量巨大,所以对全体员工进行信息安全扫盲式培训很必要,而IT人员,则需要更多的和信息科技实际工作相关的知识和技能的培训。

信息系统开发、测试和维护章节和IT人员的安全管理密不可分,特别强调了变更管理中制度和人的安全要素。商业银行IT子部门如业务创新、项目管理、系统开发和系统运行等等与这个章节密切相关,这也是如同APT等高科技风险入侵者日益看重的领域。

在信息科技运行章节,提到数据中心的安全,特别是第三方人员访问管理、信息科技部门内部的岗位制约、安全事故管理及处置机制等等与人员密不可分的重要运维流程。在业务连续性管理章节,提及商业银行的业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。不能否认,这些第三方人员相关的风险客观存在,尽管可能并不会有很多机会接触到第三方人员,但是只要一次出现意外,后果可能很严重。

在外包章节亦提及到和第三方相关的诸多人员安全风险,并给出系列的控制措施,以帮助商业银行加强信息科技相关外包管理工作,确保商业银行的客户资料等敏感信息的安全。在外部审计章节也特别强调了信息保密,要求商业银行在委托外部审计机构进行外部审计时,应与其签订保密协议,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。

综合看,信息科技是工具,人员是主角,换言之,人是信息科技的管理者和使用者,而相关的策略、标准和流程,则是为了规范人员正确操作和使用相关的信息科技。了解了这些,便不会再认为信息科技风险管理便是请网络安全专家对服务器和在线网银进行TCP/IP漏洞扫描和渗透测试这么简单。

信息科技风险控管要取得成效,应该从人员的安全抓起,让相关人员认识到自己在信息科技风险管理中所扮演的角色和职责是必须踏出的第一步。亭长朗然帮助金融机构为其特定群体的从业人员制定角色化的风险控管和信息安全培训服务,目前有推出系列动画视频课程和交互式教程模块,欢迎和我们联系洽谈业务合作。

在让国民了解信息安全基础有助“中国梦”实现

china-dream 中国梦
要实现中华民族伟大复兴的“中国梦”,让中国人民自信地走向世界,需要做的工作还很多,沟通中西文化,让中华文化走向世界,是实现“中国梦”的关键。一场史无前例的伟大变革正在安全文化、企业培训和网络教育界发生,这给我们的教育培训工作者带来了全新的革命性挑战。

所有的中华儿女都需要幸福,都需要掌握更多的知识和技能,以便在未来融入全球化的社区生活和进行全球性的竞争以及合作。昆明亭长朗然科技有限公司的信息安全培训讲师James Dong说:全国的教师们讲师们都需要从自身做起,积极准备迎接这一伟大的变革。

中华复兴需要在科技上取得和保持全球领先地位,吸取全球先进的科技成果,强化科技创新以及研发投入,将知识和技能传授给下一代。防止国家机密信息以及科技核心竞争力被敌对国家窃取,足够的信息安全能力是保障“中国梦”顺利实现的战略核心,在这其中,国民的信息安全素质是确保“中国梦”成功的基础。

中国本土市场巨大,越来越多的业务流程开始转移至线上,远远越过传统中的开个网店线上销售的概念,这就需要国民拥有基本的信息安全知识和技能,以保护他们的在线信誉和虚拟财产。而在工作领域,劳动者们也需要基本的信息安全知识,以便拥有全球性的就业竞争力,只有中华儿女安居乐业,“中国梦”才能真的实现。

“中国梦”的实现,更需要全体国民认识到自己的信息安全及国家安全职责,当然,职场人士也需要了解更多工作相关的信息安全职责。只有全体国民和劳动者都能担负起保卫国家信息安全的重任,“中国梦”的实现才能够稳固,中华民族的伟大复兴势头才能不被列强打压下去。

除了通过传统的方式向国民传授信息安全知识和技能之外,更重要的渠道使用科技创新——即通过在线教育的方式,让全体国民,特别是工作领域里的劳动者们、职员们积极参加IT安全意识的学习。

IT人士及教育培训界的教师讲师们,更应该积极探索,奋发努力,掌握足够的新科技和IT安全领域的知识技能,以便能够胜任学员的信息安全意识教学工作。只有IT人员和培训师们拥有了足够的在线教育能力,“中国梦”的实现才有了充分的智力支持。

在互联网信息安全业界,公认的最薄弱安全环节是人员,在国家安全和保障“中国梦”成功实现的领域,最薄弱的环节仍然是国民的信息安全素养。只有强化国民的信息安全意识教育,方能有效填补现实世界和虚拟网络世界中的最大安全漏洞,“中国梦”所面临的最大安全威胁才算去除。

让我们行动起来,使用昆明亭长朗然科技有限公司创新的信息安全意识培训科技来推动中国民族伟大复兴的“中国梦”早日实现和!今天,我们在此愿意分享一些知识产权保护教程,全体国民特别是工作领域时的职工们都应该努力学习,以保护好国家知识产权、国家机密信息以及核心科技,筑牢“中国梦”的实现基石。欢迎联系我们索取在线教程。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

后记:这篇貌似“生搬硬套”来将信息安全意识培训和“中国梦”关联起来的文章,数年后再读,仍然收益良多。细想想,其实所有人都会觉得自己的工作意义重大,我们对此也是深信不疑。近几年,民族主义势力抬头,在国力强胜、国民自信心爆棚的同时,也招引来了世界列强的敌视和周边小国的忌惮。我们似乎更应该在安全文化的传播和交流方面,为世界和平、稳定与发展造福。