大型商業銀行員工信息安全意識培養機制研究與實踐

隨著銀行信息技術與業務的深度融合，商業銀行業務已全面實現信息化，客戶信息、交易信息、經營決策等關鍵信息都以電子化方式存在，然而電子化信息易拷貝、易傳輸等特點也對信息安全帶來極大的挑戰。設備損壞、外部攻擊、內部操作失誤都可能帶來信息泄露、差錯的風險，業界統計表明，在這些眾多風險因素中內部人員是關鍵因素，因員工對安全隱患的“不知”，進而“無畏無慮”，或借助接觸信息之便，惡意操作都將影響企業信息安全，甚至引發“無可挽回”的后果。大型商業銀行員工人員眾多，如何筑牢幾十萬員工信息安全意識這道防線面臨的巨大挑戰。對此，建設銀行從知風險、長技能、固流程、強監督方面進行了一些研究和實踐。

知風險——構建全面的信息安全培訓知識體系

多一分信息安全意識，就多一分警覺、多一分信息安全知識，就少一分“想當然”。建設銀行面向全體員工編制了《信息安全事件警示錄》，收集了外部攻擊、內控缺陷、系統故障、自然災害等方面的60多個真實的信息安全事件，通過分析這些信息安全事件，用圖形直觀清楚地說明事件的發生過程，使員工切身認知安全事件產生的原因、過程和造成的影響。同時，推行安全警示教育年檢制。結合當年出現的信息安全案例，以及企業基本安全要求及新出臺的制度，制作短小的警示教育微課件，每年度進行更新，依托網絡學習系統，強制員工學習并進行年度達標測試，強化合規意識。

針對不同崗位，建設銀行分析各崗位面臨信息安全風險及防范能力需求，編制了面向全體員工、信息技術人員、信息安全人員、科技管理人員、客戶營銷人員的專題培訓教材。

面向全體員工編制《員工信息安全技能手冊》，圍繞員工日常辦公中最可能遇到的信息安全風險，用直白、簡單的話語、直觀的圖形來傳遞有效的信息安全防護基礎知識，幫助員工在日常辦公、業務操作方面自覺融入安全元素，主動防范風險，更有效、更安全地享受信息技術帶來的便利。并根據《員工信息安全技能手冊》組織開展全行信息安全知識競賽，傳遞信息安全基礎知識和基礎技能，提高員工安全應用信息系統的能力。

面向信息技術人員編制《信息技術人員安全手冊》、《新技術安全手冊》，提升技術人員了解新技術風險并運用安全技術防范風險能力，使信息技術人員知曉哪些風險需要面對、哪些安全要求必須遵守、哪些安全手段可以利用，懂得在開發和運維中如何應對、解決安全問題，保護信息系統的硬件、軟件及數據安全，保障信息系統能夠連接、可靠運行。

面向信息安全人員編制《信息安全人員實務手冊》、《信息安全管理標準解讀》，其中《信息安全人員實務手冊》提供安全問題解決思路，講解軟件開發安全、系統建設安全、日常運維安全和安全事件應急處置技能，增強安全人員安全實務操作技能；《信息安全管理標準解讀》具體介紹ISO 27001、COBIT、SP800-53等與信息安全相關的標準，詳述了標準發布背景、主線與體系模型、主要管控項說明、適用范圍和應用場景、借鑒價值、在行內的應用情況等內容，增加安全人員運用業界最佳實踐的能力。

面向科技管理人員編制《信息科技監管制度導讀》，從國家、行業、上市公司等層面梳理信息科技監管制度，對于每個監管制度，介紹了其出臺背景、制度主線、主要內容，并整理需要銀行落實的信息科技任務，指導管理人員學習和落實監管制度，有效促進信息科技合規管理，更好地支持業務創新發展和安全運營。

面向客戶營銷人員編制《客戶營銷人員信息安全手冊》，針對客戶營銷人員接觸客戶信息多、外出營銷頻、系統使用環境雜等特點，以客戶營銷人員的日常工作活動為主線，梳理其在外出營銷、行內營銷、客戶信息系統使用、日常辦公等各工作活動中的信息安全注意事項，并明確客戶營銷人員應知應會的常用信息安全操作技能，有效保護客戶信息和銀行資產安全。

長技能——建立員工安全技能持續提升機制

第一次將事情做好是最富有成效的安全防護，為此，建設銀行十分注重培養各級員工在信息安全工作中“我能”意識，鼓勵全員參與信息安全建設，“多一分信息安全技能，就少一分隱患”，力促員工安全應用信息科技，將大量低級操作錯誤和風險隱患抑制在萌芽階段。建設銀行建立了新員工入職安全培訓、年度安全培訓機制，并開發安全工具箱，實現人人參與安全。

建立新入行員工信息安全培訓機制，確保新入行員工上崗前必須掌握基礎的信息安全知識和建設銀行關于信息安全的制度要求；信息技術條線新員工入崗前進行安全培訓，學習信息安全制度及總行組織制定的信息技術人員安全知識手冊，確保掌握應知的安全制度和必備的安全技能；從事關鍵崗位的人員學習本崗位相關案例，以及監管部門發布的風險提示，增強風險防范意識，提高主動防范規避風險的能力。

制作安全技能網絡培訓課件，借助全行的網絡學習平臺，開展在線信息安全培訓，總行每年發布年度IT風險管理培訓計劃，通過現場或視頻方式宣講制度、分析案例、推廣安全技術，通過編制培訓教材深化培訓。分行每年制定轄內IT風險培訓計劃，對信息技術關鍵崗位、信息技術人員、業務人員及相關管理人員宣講制度、傳播安全防護技能，持續提高全員IT風險防范意識和防護能力。

開發信息安全工具箱，實現員工人人參與安全。立其功，先得利其器。借鑒對PC的健康體檢模式，開發桌面終端系統安全自查工具，內置企業安全策略，對終端中保存的重要數據和文檔情況、終端安全防護能力情況、終端可能面臨的威脅情況等進行檢查，讓每個員工了解自己終端價值大小，誰動了自己的設備以及自身設備安全情況如何。借鑒電腦廠商的一鍵恢復，在自查工具中融入漏洞修補、數據加密、使用痕跡清理和數據徹底清理等功能，讓每位員工不再覺得信息安全那么遙遠。

固流程——引導員工安全做事

對重要信息資產的使用和操作應加強流程建設，以流程管理引導員工正確使用信息資產，以嚴格制度促使員工規避信息安全風險。建設銀行建立了員工日常信息系統使用行為規范，并針對生產數據、系統參數等重要資產建立管理流程，嚴控員工操作風險。

制定《員工信息系統使用行為規范》及配套畫冊，圍繞員工信息系統使用場景，從安全教育、用戶使用、臺式設備使用、便攜設備使用、內部網絡使用、互聯網訪問、信息使用、郵件收發、系統操作、信息安全事件報告等十個方面規范員工信息系統使用行為，防范信息系統使用操作風險，保障信息系統安全，促進業務持續、穩健發展。

制定《生產數據應用安全管理規定》，規范后臺提取生產數據和修改生產數據行為，用于開發測試的數據必須脫敏，從源頭控制生產數據擴散。對數據遷移等必須使用大量生產數據的，在生產環境中劃出單獨區域，按生產環境管控標準進行管理；建立業務數據分析區，業務分析所必須的生產數據，集中存儲在業務數據分析區內，只允許通過云桌面方式遠程訪問，分析區內的數據只能內部流轉，不允許下載到客戶端。

建立內部數據分發、存儲、在線瀏覽、編輯和安全傳輸的集中管控平臺，兼顧易用性和安全性，引導員工在行內安全使用數據。內部數據集中管控平臺一是為員工提供一個適宜的數據存儲空間，減少線下數據存儲行為；二是實現數據安全分發、加工使用的環境，解決通過郵件傳輸大文件不便、不安全，辦公終端加工使用數據泄露風險大的問題。

針對目前信息系統參數化程度越高、靈活性越強，以及客戶自我服務，銀行業務人員和外部客戶誤操作的概率增加，易造成賬務錯誤、交易擁堵等問題，制定《信息系統參數管理辦法》，明確參數集中管理機制，規范參數管理工作流程，嚴格防范員工參數操作風險，實現參數全生命周期管理，保證生產系統安全穩定地運行。

強監督——督導員工做正確的事、正確地做事

信息安全合規問責是實現信息安全行為落實的有力保證，建設銀行通過合規制度以及行為監控系統的建設督導員工落實信息安全行為。

結合行內員工積分管理和行為管理要求，制定信息系統操作行為責任認定標準，明確信息系統操作行為事件的責任認定原則、認定流程、責任大小認定標準、積分減扣標準等，強化對信息系統操作的合規管理；通過現場檢查、非現場檢查、審計發現問責等多種形式，強化違規失職行為責任追究工作，推進輕微違規行為積分管理，加強內控責任落實的監督檢查，有效實施問責。

建立行為監控系統。引入操作行為監控機制，建立員工信息系統操作行為集中管控分析平臺，實現操作行為記錄的集中存儲和關聯分析，及時發現違規行為，為懲戒違規行為提供技術保證，嚴控員工違規行為，提高信息科技制度的執行力；在生產環境中建立和部署安全運維管理平臺，對于信息技術人員在生產環境中的敏感運維操作進行授權控制和跟蹤審計，使得信息技術人員的運行操作風險可控，并對操作進行監控和審計。

員工信息安全培養只有起點，沒有終點，建設銀行將積極學習業界經驗，加強實證應用，持續提升員工信息安全意識。

（作者為中國建設銀行信息技術管理部總經理）