上篇立言老师介绍了金融企业信息安全团队建设的痛点、面临的宏观环境、团队文化建设和意识建设,本篇将从以下五个方面介绍:

四、信息安全团队能力建设

五、信息安全团队建设路径

六、信息安全团队绩效体系建设

七、信息安全人员的职业规划

八、信息安全团队与其他团队的关系处理

注:序号承上。全部为企业安全建设工作中,深度实践总结归纳。

四、信息安全团队能力建设

根据中国信息安全测评中心发布的《中国信息安全从业人员现状调研报告(2017年度)》,我国信息安全从业人员年龄大部分在20-40岁之间(占比88.4%),65.9%的人员从业年限在5年以内,仅15%是由信息安全专业毕业。可见,信息安全从业人员相对较为年轻,信息安全行业经验较短,且绝大部分并非信息安全专业毕业的“科班生”。因此,该报告得出判断,“整体信息安全人员的职业发展都处于初步成型阶段”。

表面上看这些都是信息安全团队的劣势,但凡事皆有两面性,只要用心加以转化,劣势就可以变为优势。信息安全团队成员虽然普遍从业年限不长,存在一定的知识和技能短板,但年轻的团队处于学习和成长的旺盛期,只要推动组建学习型组织,建立合适的知识结构,形成有效的思维模式,就能推动团队快速进步。

一个好团队的建设标准,可以采用“两个离开”来衡量:

  • 团队成员要有能力离开,这就要求提升团队成员的知识和技能;

  • 团队成员不愿意离开,这就要求持续提升团队凝聚力以及团队成员的价值感和归属感。

“能力+意愿”二者的结合,必能打造一支优秀的、战斗力强的团队。其中,团队意愿建设有很大的普适性,已经有大量的书籍和文章研讨,此处不再赘述。团队能力建设具有专业特性,而金融企业信息安全团队的能力建设更是有其鲜明的特点和要求,下文将重点阐述。

金融企业团队的信息安全工作涉及面广、安全保障级别高,对信息安全团队的能力建设也提出了更高的要求,需要通过恰当的专业分工,一方面让每个成员各司其职,使个人职责范围内的知识和技能提升最大化,另一方面让团队成员之间优势互补,促进团队的整体效率和效能最大化。

信息安全团队能力建设,可以分为几个步骤:

  1. 确定团队工作目标,找准主要矛盾,明确团队整体职责;

  2. 根据资源情况、团队成员特点,将团队的整体职责细分为若干子团队的职责;

  3. 根据职责分工,确定各团队成员的知识和技能需求,再根据团队的知识和技能背景,找出差距,制定针对性的培养提升计划。

  4. 掌握学习方法,实现事半功倍的效果。

以下依次说明每个步骤的实践方法。

(一)确定目标,找准主要矛盾

金融企业的信息安全工作目标通常分为两部分:

  • 安全管理类,主要是满足监管合规性要求和防范科技工作流程中的风险;

  • 安全技术类,主要是通过各种各样的技术防控手段,防范攻击入侵、信息泄露等信息安全风险。

不同发展阶段的金融企业,上述目标的侧重性会不一样。与科技企业、互联网企业等“技术流派”有所不同的是,金融企业的安全团队往往优先满足第一类目标,因为金融企业面临的监管要求多,合规性是对外经营的基础,必须优先保障制度流程的完善及操作过程的合规。第二类目标一般先通过部署基本的安全工具(如防火墙、防病毒、IDS、WAF等)实现技术防控,再依托第三方安全专业机构的外包资源做渗透测试、漏洞扫描和日常安全监测等作为补充。

要根据本企业的特点和信息安全工作发展阶段,抓住当前信息安全团队工作的主要矛盾,确定安全团队的关键职责和团队能力建设的重点:

  1. 如果监管要求的达成还有较大差距,安全团队就要先把主要精力放在合规性方面,安全技术防控方面先部署基本的技术工具并适当利用外包资源。此时安全团队的关键职责就是构筑信息安全的底线,开展监管要求符合性分析和差距整改、信息安全管理体系建设、制度流程完善、内部安全检查等工作,安全技术工具维护和安全外包服务作为辅助职责。

  2. 如果信息安全管理工作已经达到一定水平,就要一方面持续坚持信息科技合规建设不放松,另一方面加快培养安全技术防控能力。此时安全团队的关键职责需要兼顾管理和技术两方面,在巩固既定的安全管理长效机制的同时,逐步建立一体化、自动化、智能化的纵深防御技术体系,在安全工具和平台的新增引入和升级、安全技术策略的持续优化、安全技术服务的综合化和多样化、安全攻防的深入化等方面下大功夫。

(二)梳理和细分团队职能

金融企业的信息安全团队工作目标、主要矛盾、关键职责等方向性的内容确定后,需要对团队职能开展进一步的细化,明确具体的工作任务。

1.信息安全管理职能

第一大类是信息安全管理职能,即通过管理手段防范信息科技风险。

  • 一方面主要负责信息安全管理策略、制度、流程的制定和优化,确保各项信息科技监管要求在行内制度和流程中得到贯彻,即“有章可循”;

  • 另一方面对各种监管合规要求、制度流程的执行情况进行检查和监督,确保制度流程在日常工作中落实到位,即“有章必循”。

主要工作职责包括但不限于以下几项:

  • 负责信息安全整体规划设计和计划管理:组织制定符合金融企业科技规划和风险偏好的信息安全规划,确定信息安全工作的愿景、使命、价值观和发展方向,明确信息安全工作的长期和短期目标,摸查现状和目标的差距,制定具体实施路径;制定年度信息安全工作计划并组织分解任务,确保计划达成。

  • 负责金融领域信息科技相关监管要求的达成:负责组织落实国家监管机构及行业组织颁布的信息安全管理要求和规章制度要求,对于不符合项组织排查和整改到位;负责向监管机构、行业组织及行内职能部门等报送信息科技风险监测情况,满足监管机构对信息安全的监测要求;保持与监管机构和信息安全机构的良好沟通与联络,掌握同业信息安全管理控制的动态信息,指导内部信息安全工作;建立完善与监管机构、行业组织、重要客户的沟通联络应急机制,保持应急机制的有效性。

  • 负责信息安全管理体系建设及维护工作:对于需要通过或持续维护ISO27001认证的企业,采用ISO27001信息安全管理体系为标准,借鉴国际信息安全管理最佳实践经验,制定信息安全策略和方针,系统梳理企业信息安全管理存在的风险,采取有效措施防范信息安全风险,提高自身信息安全管理水平;获得由国家权威机构颁发的ISO27001信息安全管理体系认证证书,提升企业形象和外部认可;持续维护信息安全管理体系并每年通过国家权威机构的年审,确保风险管理机制的长期可持续性。

  • 负责信息科技规章制度和流程的制定和优化完善:收集整理并组织落实国家监管机构及行业组织颁布的信息安全规章制度和管理要求;将外部要求转化为内部制度和流程,建立健全科技规章制度体系,组织规章制度的制定、宣讲、评估、修订、废止等全生命周期管理;组织开展信息科技规章制度检查,检查各项制度流程的执行落实情况,评估制度流程的有效性和可操作性,适时开展制度修订或废止;负责将制度要求落实到内部管理系统中,实现制度要求的技术硬约束。

  • 负责外部信息安全检查的组织和配合:负责具体组织、协调、配合监管机构、行业组织等外部单位以及内部审计部门、风险管理部门、合规部门等开展的信息科技检查工作;针对监管机构现场或非现场检查、内部审计、外部审计以及风险评估发现的风险,组织落实信息安全风险整改,控制和化解风险。

  • 负责信息科技内部风险检查和评估:组织信息科技内部合规性检查、风险评估、整改机制的制定和落实,确保风险被主动的发现和整改,总体控制信息科技风险。

  • 负责组织其它部门和分支机构的信息安全工作:组织对其它部门和分支机构的信息安全现场和非现场检查和监督,确保信息安全制度和要求在全行的贯彻落实。

  • 负责组织信息科技突发事件的应急处置:组织信息科技突发事件和信息安全攻击事件的监控和分析,向监管部门和行内管理层报告,协调应急处理,控制突发事件带来的影响和损失。

  • 负责全辖安全团队建设和培训宣传:组织分支机构建立信息安全岗位,负责岗位人员的培养;负责全体员工信息安全意识教育和培训。

2.信息安全技术职能

第二类是信息安全技术职能,通俗地讲,就是要通过技术措施,实现让攻击者“进不来,拿不走,打不开”的目标:

  • 一方面是“练内功”,致力于提高信息系统自身的健壮性和免疫力,通过制定安全技术规范,确保金融机构的信息系统遵循技术规范设计、开发和运维,减少系统运行的风险和漏洞;

  • 另一方面是“防外贼”,就是要在信息系统外围建立“篱笆墙”,通过设计安全技术架构,实施专门的安全技术工具,保护金融企业信息系统及系统中的数据免遭破坏或泄露。

主要工作职责包括但不限于以下几项:

  • 负责制定企业级的信息安全技术规划和技术架构:明确安全技术防控目标,构建覆盖物理安全、网络安全、系统安全、应用安全、数据安全、桌面安全等全方位的技术规划蓝图,确定技术架构体系;摸查安全技术建设的现状和差距,制定安全技术防控措施的实施路径。

  • 负责组织制定和落实信息系统安全技术要求:根据监管机构、行业组织等发布的信息安全技术标准和规范,组织在行内的落实和转化;制定覆盖物理安全、网络安全、系统安全、桌面安全的信息安全基线;制定覆盖需求分析、系统设计、编码、测试、投产、运维等全生命周期的应用安全管理技术规范;通过制定规范、宣讲规范、技术评审、落实情况检查、督促整改的闭环机制,分析评估和化解现有信息系统安全技术架构和安全措施存在的问题和漏洞,确保安全基线和安全技术规范在生产运维、应用研发、科技管理等工作中有效贯彻落实。

  • 负责信息安全基础设施和技术工具的建设和运维:根据整体技术架构,分步骤地实施防病毒、防火墙、入侵检测、漏洞扫描、安全事件管理平台、安全情报分析、安全态势感知平台等信息安全技术措施,负责安全技术策略的建立、调优和维护,开展日常信息安全事件的应急响应和处置,防范安全攻击和入侵风险。

  • 负责安全漏洞检测和防护:信息系统投产前开展网络、系统、数据库、应用等各层面的漏洞扫描和风险评估,组织漏洞分析排查和修复;组织外部专业安全机构定期开展应用系统渗透性测试,有条件的组建内部渗透性测试队伍,评估漏洞风险等级并制定修复方案;针对外部披露的漏洞信息、病毒风险、威胁情报等,组织应急响应和风险防范;组建内部安全攻防队伍,制定安全事件应急预案并开展攻防演练;组织开展应用系统防病毒、防挂马、防篡改、防钓鱼、抗DDOS攻击等方面的安全监控和应急处置。

  • 负责组织开展信息系统安全等级保护工作:按照国家信息安全等级保护相关法规和标准,开展定级、备案、自查、测评及整改等工作,实现等级保护“同步规划、同步建设、同步运行”。

  • 负责信息安全新技术的跟踪研究:组织收集和研究同业信息安全技术及管理发展动态,研究行业信息安全技术发展趋势,提出信息安全技术和管理发展方向建议。

在准确梳理上述信息安全团队职能的基础上,根据信息安全团队人力资源、当年可以投入信息安全工作的财务资源情况,确定本企业当前形势下最关键的信息安全职能是哪几项,然后将关键职能分配至团队成员。最好至少设置安全管理和安全技术两个岗位,在信息安全团队到达一定规模后,可划分为安全管理和安全技术两个小团队,每个小团队中的成员赋予一部分的职责。

上述步骤完成后,就可以形成信息安全团队岗位职责对照表,参考如下:

序号

岗位名称

岗位的关键职责

人员匹配

1

信息安全管理岗

1、负责信息安全整体规划设计和计划管理;

2、负责金融领域信息科技相关监管要求的达成;

3、负责信息安全管理体系建设及维护工作;

4、负责信息科技规章制度和流程的制定和优化完善;

5、负责外部信息安全检查的组织和配合;

6、负责信息科技内部风险检查和评估;

7、负责组织其它部门和分支机构的信息安全工作;

8、负责组织信息科技突发事件的应急处置;

9、负责全辖安全团队建设和培训宣传。

李XX

2

信息安全技术岗

1、负责制定企业级的信息安全技术规划和技术架构;

2、负责组织制定和落实信息系统安全技术要求;

3、负责信息安全基础设施和技术工具的建设和运维;

4、负责安全漏洞检测和防护;

5、负责组织开展信息系统安全等级保护工作;

6、负责信息安全新技术的跟踪研究。

张XX

(三)建立学习框架,提升知识和技能水平

所谓“工欲善其事,必先利其器”,目标明确、绩效指标确定后,就要通过持续地学习知识和锤炼技能,提升安全团队的专业能力,从而达成目标和绩效指标。

要实现高效的学习和提升,需要先构建学习的套路和框架,然后根据框架对照发现自己的不足,并逐步弥补短板。学习框架主要包括三个方面:

  • 安全管理类知识和技能

  • 安全技术类知识和技能

  • 其他补充知识

1.安全管理类学习框架

安全管理类的知识和技能可以细分为以下几类:

(1)监管要求和行业组织标准

金融企业的监管要求来源和种类较多,包括国家法律法规,以及监管机构发布的制度、指引、通知、要求、风险提示等,例如《中华人民共和国网络安全法》、《商用密码管理条例》等法律法规;银行业的《商业银行信息科技风险管理指引》、《商业银行数据中心监管指引》等监管要求;证券业的《证券期货经营机构信息技术治理工作指引》、《证券期货业信息安全保障管理办法》等监管要求。

行业组织标准,包括国家标准和行业标准,国家标准方面有物理安全相关的GB 50174-2017 《数据中心设计规范》、数据安全相关的GB/T 35273-2017《信息安全技术 个人信息安全规范》、等级保护相关的GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》等;行业标准方面有JR/T 0068—2012 《网上银行系统信息安全通用规范》、等级保护相关的JR/T 0071—2012《金融行业信息系统信息安全等级保护实施指引》等。

监管要求和行业组织标准异常繁杂,如果全部记住既不现实也没有必要,关键是要能活学活用,这就要求一方面做好归档并形成地图,另一方面安全人员的头脑中要形成一个大致框架和索引,需要的时候知道怎样能够搜索和引用。

首先是归档。要收集齐全这些监管要求和行业组织标准并随时更新维护,指定信息安全管理团队成员承担起职责,在每次收到文件后立即集中归档保存,然后按照一定的逻辑形成监管要求文件汇编,建立知识地图。

其次是学习。信息安全人员应该从多个角度反复学习监管要求和行业组织标准,掌握其中的主要概念和要求,形成知识框架。主要的学习方法包括:

  • 一是按单个监管要求开展纵向通读,对照本企业的情况排查差距,例如在GB 50174-2017 《数据中心设计规范》更新发布后一个月内马上组织对照排查物理环境是否满足对应的安全要求;

  • 二是按管理领域进行横向整理,例如网络安全领域,在法律法规、监管要求、行业组织标准中都会涉及,需要从各个文件中摘录,并经过合并、去重,整理形成网络安全相关的汇总要求;

  • 三是结合安全检查和风险评估,对照监管要求和行业组织标准,一方面检查制度转化情况,即行内制度和流程是否有对应的转化和贯彻落实,另一方面检查执行情况,即实际的操作过程和信息系统是否满足要求。通过在日常检查中不断回顾和巩固,加深对监管要求和行业组织标准的理解和应用。

(2)信息安全管理体系建设标准

现在越来越多的金融企业开始选择开展ISO27001信息安全管理体系认证。ISOISO27001标准,是全球应用最广泛与典型的信息安全管理标准,为金融企业的信息安全管理体系建设提供了很好的参照指南,其理念主要是针对信息资产进行保护,对系统漏洞、黑客入侵、病毒感染等内容进行防范。

最新版的ISO27001标准是2013年修订的版本,共包括14个控制域、35项控制目标和114项控制措施,其内容涵盖了信息安全管理和技术的方方面面,是非常完整和细致的。几乎所有想通过认证的金融企业都不会把认证当作唯一或者主要目标,ISO27001认证的过程,只是在促进金融企业自身完善信息安全管理体系后,由权威机构对信息安全工作进行复核和认可。

ISO27001认证的主要“实惠”是,通过认证的过程,安全团队可以快速掌握信息安全管理体系相关的理论知识,并通过全面、系统地梳理、对照、排查本企业在14 个控制域内的安全现状,发现安全短板和漏洞,从而主动化解风险。同时,通过企业内部对安全工作的大力培训和宣传,提升全员安全意识水平。

(3)已有的制度和流程

金融企业通常制度流程都比较规范,会形成一套涵盖业务、财务、风险、合规、科技等领域的制度体系,这些制度流程是金融企业员工日常工作所参照的依据,信息安全团队必须学习掌握其中信息科技管理和风险管理相关的内容,才能更好地把控企业对于信息科技相关的工作要求。主要包括几个层级的制度:

  • 一是企业级制度,属于全辖都需要遵守的规章制度,信息安全团队重点学习其中的风险政策、风险管理办法、保密管理办法、客户信息保护相关管理办法、业务连续性管理办法等;

  • 二是其他部门相关制度,例如审计部门发布的审计准则、审计及整改追踪办法等,风险部门发布的风险管理、评估、监测相关工作指引,合规部门发布的法律事务相关的规章制度等;

  • 三是信息科技部门相关制度,金融企业通常都会形成涵盖科技管理、开发、测试、运维、信息安全的一整套制度体系。

对于企业级、其他部门的制度,信息安全管理团队应该有初步了解并形成一个索引,做具体工作的时候知道要遵循哪些相关要求、从哪些制度中寻找依据,同时确保科技规章制度能符合企业级制度的要求,与其他部门制度不相冲突。

对于科技规章制度,则要肩负起制定和维护的职责,自己先学习、掌握,然后组织科技条线内部的学习宣讲,之后通过检查督促执行,最后根据检查结果再检讨制度的合理性,完成制度修订,形成一个全生命周期的闭环和螺旋上升的机制。

(4)监管要求符合性分析和排查的技能

对监管要求的熟悉掌握,可以说是金融企业信息安全团队的“安身立命之本”。 除了对本行业的信息科技监管要求做到烂熟于胸之外,信息安全团队还需要对监管要求进行转化,将其变为在企业内落地的条款,并通过监管要求和企业实际情况的对照分析,排查出本企业的差距,组织实施整改弥补差距。

因此,监管要求符合性分析和排查,是信息安全团队必备和常用的技能。监管要求符合性分析,分为两个层次:

  • 第一个层次是企业内部制度是否符合监管要求。每收到一个新的监管要求,需要对其中的每一个条款逐个吃透、理解,然后分析该条款可以有行内哪一份规章制度的哪一个条款来对应。如果没有任何一条制度能达成监管要求,则需要对制度进行补充完善。这一个层次的分析成果就是对照排查结果,以及制度、发文通知等证明材料。

  • 第二个层次是企业内的执行情况是否符合监管要求和制度规定。这就需要针对监管要求,摸查企业内部工作流程的执行情况,搜集执行的记录、日志和证据材料,判断执行过程和结果是否符合监管要求和制度规定。这一个层次的分析成果就是对照排查结果,以及日常执行的记录、项目文档、系统日志等证明材料。

经过上面两个层次的现状分析和差距对比,得出每一项监管要求的差距项分析结果,然后对存在差距的项目,确定整改要求和整改责任机构,由责任机构制定并落实整改方案、整改计划、责任人和计划完成整改时间,并定期反馈整改进展。

监管符合性分析工作的输出成果和过程跟踪,可以用一个表格表示:

序号

监管

要求

制度符合

情况

执行符合情况

证明材料

存在差距

整改方案

及详细计划

完成时间

责任单位

责任人

整改

进展

1

A

A1

……

……

……

……

……

……

(5)信息安全风险检查技能

信息安全风险检查,是信息安全团队的主要工作之一。掌握一定的检查技能,有助于主动发现深层次的风险隐患,有计划性地推动落实整改,实现将风险“扼杀在摇篮中”的目的。

信息安全风险检查,是指通过调研访谈、资料查验、现场核查和穿行测试等方法,评估当前信息安全管理和技术控制的合规性、充分性和有效性,发现存在的信息安全风险,针对发现的风险提出整改要求并监督实施的风险防范及控制过程。信息安全风险检查,检查只是手段,“以查促防”,“以查促改”,才是最终目的。

信息安全风险检查分为自查、现场检查、非现场检查、飞行检查等多种方式:

  • 一是自查方式,由被检查对象自行组成检查组,按照预先制订的检查方案开展信息安全检查,鼓励被检查机构主动充分揭示自身存在的风险隐患,形成“主动揭示风险、主动落实风控措施”的机制;

  • 二是现场检查方式,由信息安全团队牵头组建检查小组,制订检查方案和时间安排,在预定的时间范围内进驻被检查单位,按照检查方案开展信息安全风险检查;

  • 三是非现场检查方式,由被检查对象提供文档、影像资料、配置文件等证明材料,信息安全团队牵头组建检查小组针对证明材料进行核验,通过材料比对、数据分析、电话访谈等方式,核查事实、发现问题;

  • 四是飞行检查方式,属于现场检查中的一类,但与普通现场检查相区别的是不提前制定计划,不提前通知,而是突然派出检查组直达被检查对象现场的“突袭”方式。检查内容同样覆盖所有的检查列表,目的是检验被检查对象日常信息科技工作情况以及应对突发性检查的能力。

信息安全风险检查过程包括检查准备、检查实施、检查报告、后续整改、总结分析共五个阶段:

  • 一是检查准备阶段。包括组织成立检查组、制定检查实施方案、明确检查时间安排、通知被检查单位等工作。检查方案中最重要的是信息安全风险检查列表,其中明确了检查项目、检查依据、检查标准、检查方法、抽样要求、发现风险情况、风险级别等,该表涵盖了检查的重点内容,根据监管要求、企业内部制度流程、历年检查情况等进行每年更新、完善并发布。

  • 二是检查实施阶段:检查人员通过访谈、调查问卷、现场查验和穿行测试等检查方法,了解被检查对象的信息安全现状,分析信息安全管理和技术控制的合规性、充分性和有效性,识别存在的信息安全风险及隐患,评估发现的信息安全风险等级及影响。

  • 三是检查报告阶段:检查实施完成后,检查人员须总结信息安全风险检查情况,向被检查对象的负责人说明检查过程中发现的问题和风险,指出违规情况和风险隐患可能造成的影响,提出明确的整改要求,向被检查单位发出书面的检查报告,对于重大信息安全责任事件予以通报。

  • 四是后续整改阶段:被检查对象须根据检查报告组织制订信息安全风险检查整改计划并落实整改工作,同时要求被检查对象按月、按季汇报整改进展。

  • 五是总结分析阶段。信息安全团队定期召开专题信息安全风险防控交流会,组织被检查对象总结分析检查发现的风险隐患,剖析风险形成原因,研究防控措施,更好地推动整改和长效机制建立。

风险检查工作的输出成果和过程跟踪,可以用一个表格表示:

检查项目

检查依据

检查标准

检查方法

抽样要求

检查人员

发现风险情况

风险级别

整改方案

及详细计划

完成时间

责任单位

责任人

整改

进展

(6)信息安全风险监测技能

信息科技风险监测,指金融企业针对信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测、动态跟踪风险趋势、前瞻研判风险态势并及时采取控制措施的过程。

信息科技风险监测采取以下步骤开展:

  • 第一步是选取监测指标。根据各领域的管理要求选取可计量的信息科技风险监测指标,以综合反映本企业信息科技风险水平及风险管控能力。指标的选取,应该能够反映企业信息科技风险水平和控制效果,能够涵盖本行信息科技风险存在的主要环节,反映信息科技各环节工作的风险状况。根据指标性质设置不同的监测频率,可以按月、按季、按年收集。对于每一个指标,要设置合理的阈值,超过阈值范围就说明风险状况需要引起重视,需要分析原因并采取应对措施。

  • 第二步是数据采集,信息科技风险监测指标由信息科技基础运行数据经采集、加工、计算形成,有系统自动采集的指标,也有人工采集的指标。信息科技部门应保障指标数据的全面性、真实性和准确性,指标数据应当具备可验证、可追溯的数据来源。

  • 第三步是指标应用,应根据指标监测和分析结果,针对异常情况统筹制定风险应对策略,并具体实施执行。对于监测发现的重大风险,应及时将风险信息和相关应对处置方案报送高级管理层。

  • 第四步是指标维护,应根据监管要求、信息科技发展状况、风险监测结果、风险关注重点等情况,定期(至少每年一次)进行维护及更新,在发生重大科技变更或其他必要事项时,也应进行指标维护及更新。

风险监测工作的输出成果和过程跟踪,可以用一个表格表示:

序号

风险领域

监测指标

设置目的

监测指标名称

计算公式

监测频率

阈值

(报警线)

监测

结果

报警原因分析

(7)应对内外部审计和检查的技能

金融企业信息科技部门经常需要接受外部的安全审计、风险评估、检查等工作。监管机构、公安机关、外部审计公司、内部审计部门、风险管理部门、合规部门等,都是信息科技检查的组织者和执行者。

金融企业信息科技部门通常会安排信息安全团队负责迎检工作。此时的信息安全团队摇身一变,由经常检查别人的角色,切换为被检查对象的总协调人。为了保障检查工作的顺利进行,特别需要注意以下几点:

  • 换位思考,提前预演。在接到检查、审计等通知前,信息安全团队要尽可能先创造机会在内部做一次检查的“演练”,也就是说,将自己代入检查人的角色,按照通知中的检查范围、检查内容,模拟检查方法,先来一次内部检查,对于发现的问题马上组织整改工作。

  • 资料提交必须真实、完整、准确。信息安全团队要整体把控资料的内容,正式对外提交前对资料进行预审,确保资料来源的真实性和可追溯性,而且要确保资料与检查清单上的要求一一准确对应,不要“张冠李戴”,也不能有理解的偏差和信息的遗漏。

  • 要安排合适的人,说合适的话。要预先安排好被访谈的人员,包括负责总协调的唯一接口人和专业领域内的其他责任人。接口人要全面掌握企业的内部信息,有较强的沟通协调能力,能快速反应,灵活调配资源。其他人员要在专业能力上能应对检查内容,沟通方法上能掌握分寸。信息安全团队可以提前做一次迎检培训,讲述迎检的注意事项。要特别注意的是,回答问题时,牢记“问什么答什么”,绝不能答非所问,天马行空地想到什么说什么。

2.安全技术类学习框架

安全技术类的知识和技能涉及面非常广泛,包罗万象。对于金融企业来说,重点需要掌握以下几方面的安全技术:

(1)物理环境安全:对于数据中心的访问控制技术、监控、风火水电、消防、温湿度等,了解一些基本的技术参数要求,在检查时会对比知道怎样属于安全范围内即可,无须深入掌握太多技术细节。

(2)网络安全:网络安全技术比较复杂,往往是攻击的突破口,如果能够掌握基本原理和主要的安全相关技术,对于安全防控大有帮助。主要包括网络设备身份认证措施、网络隔离技术、网络区域划分的规则、网络边界安全、网络访问控制的配置、网络端口控制、网络安全审计日志等。对于关键的安全设备之一防火墙的原理和配置最好也能有所了解。

(3)系统安全:主要熟悉操作系统、数据库、中间件等系统软件的安全配置基线,以便通过配置基线的核查比对,发现风险隐患。

(4)应用安全:主要掌握访问控制和身份验证,以及数据保密性、完整性、可用性等方面的安全技术标准和要求,能够在技术方案评审和投产上线后的安全检查中发挥作用。

(5)数据安全:主要掌握个人信息的范围,了解数据脱敏技术,以便核查确认个人信息全生命周期保护措施是否完善。了解数据备份原理和技术,以便检查数据备份策略是否有效、数据是否具备恢复能力等。

(6)终端安全:主要掌握终端安全相关的工具软件的原理,例如域控、终端准入软件、文档安全产品、数据防泄漏等终端安全保护技术,以便在终端安全策略制定和安全检查中发挥作用。

(7)开发安全:熟悉SDL等开发生命周期中需要遵循的安全技术标准,熟悉需求分析、设计、编码、测试、投产前安全扫描等各阶段的安全基线,以便参与技术评审和检查应用开发中的安全措施是否充分和有效。

(8)运维安全:熟悉生产运维管理全流程中的风险点,以及堡垒机和系统日志审计、数据库日志审计、应用日志审计等审计工具的使用。

(9)安全防护工具:防病毒软件、IDS/IPS、WAF、漏洞扫描工具等的熟练维护、事件处置和策略优化。

(10)渗透测试:了解渗透测试相关的技术、常用工具软件等,以及各类漏洞的原理、攻防方式、漏洞防护策略等。

(11)安全新技术:包括安全态势感知、安全大数据分析、威胁情报、人工智能等。

(12)新技术安全:包括移动互联、云计算、大数据、区块链、人工智能等金融科技新技术的风险、安全防范措施和安全防护工具。

3.其他补充知识

要做好安全工作,还需要一些补充的知识:

  • 掌握一些业务方面的知识,包括业务相关且涉及科技系统支持的监管要求,主要的业务逻辑,业务风险控制要求等,以利于技术方案的评审和安全要求在应用系统中的落地实现。

  • 掌握沟通、协调和关系处理的软技能。详见后面章节“信息安全团队关系处理”。

(四)掌握学习方法,实现事半功倍的效果

所有的知识和技能,虽然都有变与不变的部分,而永远不变的是“变化”。因此信息安全团队必须不停地刷新自己的知识和技能框架,调整学习重点,保持与新技术、新理论的同步性,方可在不断变化的环境中,始终保持合规性和对风险的有效控制,以及保持对攻击的免疫能力。

由于信息安全相关知识和技能包罗万象、日新月异,掌握一定的学习方法就显得至关重要。

1.安全管理类知识的学习方法

安全管理类工作虽然繁杂,但“万变不离其宗”的就是要先把监管要求和规章制度等规矩吃透,然后发现本企业在执行方面的风险和短板,最后完成整改和化解风险。参照读书时“先把书读厚、再把书读薄”的法则,安全管理类工作需要经历“读薄-读厚-再读薄”这样的循环。

(1)“把书读薄”。金融企业面临的监管要求、行业标准层出不穷,行内的制度也通常是以百为单位的数量,要全部记住这些“规矩”基本不太可能。因此需要:

  • 第一步,建立基本原则:分清楚什么样的规矩必须全文吃透,什么样的掌握梗概即可,什么样的掌握其中的关键条款;

  • 第二步,区分精读和粗读:对第一种情况精读,第二种情况粗读,第三种情况部分粗读、部分精读;

  • 第三步,形成“知识地图”:把规矩中的要点摘记下来,在头脑中形成一个“知识地图”,或者利用一些“脑图”工具实现记录,需要用到的时候可以在“知识地图”中快速检索。这样就实现了“读薄”的效果。

下面举一个银行业监管要求的事例,说明“读薄”的方法:

  • 第一步,建立基本原则:银行业监管要求中关于信息科技风险管理的要求必须全文吃透,因为是信息科技风险管理的纲领性文件,例如《商业银行信息科技风险管理指引》、《银行业金融机构外包风险管理指引》等;关于整体风险控制的文件需要掌握梗概,因为信息科技风险是其中的重要组成部分,可能各个条款都与信息科技风险有关联,例如《商业银行内部控制指引》、《银行业金融机构全面风险管理指引》、《商业银行操作风险管理指引》等;关于业务风险控制的文件只需要掌握关键条款,因为其中大部分管理对象是业务操作,与信息科技风险管理相关的条款通常不多,例如《网络借贷资金存管业务指引》、《商业银行委托贷款管理办法》等。

  • 第二步,区分精读和粗读:例如对于《商业银行信息科技风险管理指引》,首先了解清楚其中涉及信息科技治理、风险管理、审计、信息安全、开发测试、生产运维、业务连续性、外包等八个关键的风险领域,然后对于每个领域,逐个吃透其中每个条款的内容,同步思考为何要提这样的风险控制要求、实际上怎样操作才算满足要求等,这就是精读。对于《银行业金融机构全面风险管理指引》,了解到信息科技风险是其中的重要组成部分,指引中规定了风险治理架构、风险管理策略、风险偏好和风险限额、内部控制和审计等各方面的风险要求,重点了解到信息科技部门需要参与其中每年一次的风险管理策略回顾、风险评估等工作,并建设完善的风险管理信息系统和信息科技基础设施等,这就是粗读。

  • 第三步,形成“知识地图”:银行业金融机构信息科技风险管理工作涉及面虽广,但是都脱离不了《商业银行信息科技风险管理指引》“八大领域”的框架范畴,因此可以首先以“八大领域”为“知识地图”第一层的主干框架,然后将其他监管要求合并进来,例如将《银行业金融机构外包风险管理指引》中的主要内容合并到“八大领域”中的“外包管理”领域,将《商业银行数据中心监管指引》中的主要内容合并到“八大领域”中的“信息安全管理”领域(具体说,是其中的“物理安全”子领域)等。以此类推,就可以建立起信息风险管理的监管要求“知识地图”。行内制度也可以参照执行。

(2)“把书读厚”。主要方法就是结合本企业的实际,理解和分析监管要求在本企业的应用落地情况。常见的一种方式是,对照“知识地图”中各领域的要求,逐条分析本企业的制度是否对监管要求进行了转化,以及实际操作流程是否严格执行了监管要求和制度规定。这样就可以将监管要求中的概要描述,转化为企业内细化的规定和流程控制,既可以实现对监管要求更深入、更全面、更细致的理解,又可以使企业流程更加标准化、规范化、精细化。

(3)“把书再次读薄”。主要方法就是发现本企业与监管要求之间的“缺口”后,分析归纳出主要整改方向和整改要点,把主要的精力和资源放到解决这些问题上,制定整改计划,将短板补齐,逐步让“缺口”越来越小,需要关注的重点也就越来越少。

2.安全技术类知识的学习方法

安全技术方面,涉及的领域非常广泛,各种技术类书籍、文章或者工具使用指南可以说是“汗牛充栋”,这里不讲具体技术内容,只讲所有技术学习共性的“套路”。

这个套路用几句话概括,就是学习的四个境界:“不知道不知道”、“知道不知道”、“知道知道”、“不知道知道”。

首先,从“不知道不知道”进化到“知道不知道”。要有“空杯心态”,不停地发现自己的短板,知道自己该学什么。针对自己工作的重点,分析自己在哪方面的技术存在差距,然后针对差距列出学习清单,对于清单上的内容逐项确定自己需要学习掌握的程度是精通、熟悉还是了解即可。根据工作需要去学习,会比为了学习而学习的效果要好很多。

其次,从“知道不知道”坚持到“知道知道”。要保持对于技术学习的强烈意愿和兴趣,坚持不懈地努力,根据清单逐项学习掌握技术要点,第一摸清楚技术防控的风险本质和目的,第二搞清楚安全技术的原理和内涵,第三掌握具体的操作方法。做完这几条后,基本上就心中有数了。在互联网时代,只要有心,学习的途径非常多。可以参考的做法是,先通过百度或知乎等网站粗略了解该技术想解决的主要问题和大概原理,再买三本以上的专业书籍阅读理解(一本精读,两本辅助补充),然后找相关的厂商交流如何实践,三个步骤可以交叉或者循环进行。

第三,从“知道知道”潜移默化为“不知道知道”。这个过程的关键在于将外部知识内化为自己的知识,并能够熟练运用。第一要在实际工作中尽可能多的加以运用,第二要日常多做深度思考,养成总结、分析、回顾、检讨的习惯,第三在适当情况下写成文章并与大家分享,强迫使自己的思维趋向结构化。这样长此以往,就像最厉害的武侠大师一样,能够做到“心中有剑,手中无剑”,即在需要应用知识的时候,形成一种“习惯性输出”,无需临时的深度思考,就能手到擒来,运用自如。

经历过上述三步以后,就进入一个新的“不知道不知道-知道不知道-知道知道-不知道知道”的循环,个人的技术水平,也将螺旋上升。

五、信息安全团队建设路径

建设一个好的信息安全团队,不是一蹴而就的。随着金融企业对信息安全保障的要求不断提升,信息安全工作不断成长成熟,信息安全团队才能逐步发展壮大。因此,有必要提前设计好信息安全团队的建设路径,安排好不同阶段、不同人数团队的不同工作任务。

(一)先找好“唐僧”

首先要找到一个“唐僧”式的人物,能为信息安全团队的领头人。这个人必须有坚定的信念,执着的追求,对目标一以贯之的坚持,才能在重重困难中坚持把信息安全工作做到位。

信息安全团队的领头人,除了自己不畏艰难、苦心修行、日益精进之外,还必须能够对团队产生巨大的影响,至少要做到以下几点:

  • 一是要努力让团队成员认可信息安全工作的价值,相信自己的价值,感受到被别人认同的价值,这样才能激发每个员工的最大潜力和最强的主观能动性。

  • 二是让信息安全工作创造价值。要用“踩油门”的心态和目的,去“踩刹车”,不能习惯性地“踩刹车”,或者一直踩住刹车导致止步不前。最好的做法是,类似开车时候的“切线变道”,“踩刹车”的目的是为了更好地前进。金融企业是经营风险的机构,风险管理能力是核心竞争力,良好的风控措施,是为了更好地发展业务。同样,恰到好处的信息安全管理,也是为了系统更稳定的运行和更好地支持业务,必须努力让这一目标得以实现。

  • 三是要通过各种量化措施,让安全团队的价值能表达、体现出来,方法之一是设置合理的安全监测指标和安全考核指标,体现安全团队对风险的主动发现能力的持续提升,以及安全团队工作绩效的持续改善。

  • 四是要主动报告和表达,“管理”上级,做好上层领导的工作,争取领导的支持。信息安全是“一把手工程”,获得领导的信任和支持是成败的关键,也是信息安全团队领头人最主要的工作任务之一。

(二)通过招聘补充成员

“唐僧”确定以后,其他团队成员也需要陆续到位。如果能继续找到专业技能非常高超的“孙悟空”,沟通协调能力极强的“猪八戒”,任劳任怨的“沙僧”,还有平常默默无闻、关键时刻担当顶梁柱的“白龙马”,这样的团队组合就非常完美。这就需要根据企业的实际需要,针对性地找到对应技能的团队成员。

专业的安全人员在市场上很少,而且前面提到的安全团队知识和技能涵盖面非常广,如监管要求、安全标准、网络安全、系统安全、应用安全、数据安全、漏洞挖掘、安全运维、安全开发等,能精通一种都已经极为不易,如果所有的都要精通,基本不太可能,要么就是成本极高,不符合安全人员的定位。因此,要逃离招聘的“悖论”(即既希望找通才、高端专才,又不愿意付出对等的薪酬),要先考虑清楚重点需要什么样的技能,然后招某一方面技能比较突出的人员,其他方面的招进来以后边做边学,掌握至一定程度即可,不求样样精通。

还有一种比较好的方式是,招聘应届生自己培养。这样能根据需要的专业方向,针对性地督促应届生学习,假以时日即可达到某些方面的精通。

总体来说,要招聘到符合目标的人才,不能坐等人家主动过来发现企业的需求、主动投简历,而应该自己到市场上去发现和物色,变“招”为“找”。

(三)形成团队“合力”

上一章讲到的安全管理要求和安全技术纷繁复杂,靠一两个人全盘掌握几乎不可能,所以安全团队要根据人员特点和专业特长,合理地安排角色和分配任务,鼓励每个人在专业路上纵深发展,互相取长补短,使团队合力最大化。

(四)循序渐进:从0到1,从1到N

金融企业的信息安全工作,往往是从0起步,兼职、1个专职、2个专职、3到N个专职,这样一步一步成长起来的。

金融企业信息安全的职能基本都是确定的,在安全管理和安全技术两个大类下,具体包括监管合规、制度建设、开发安全、运维安全、安全技术等几方面小类的工作。但是处于不同发展阶段的企业,在信息安全管控目标、风险控制范围和深度、剩余风险接受程度上不一样,因此,需要根据信息安全团队的资源情况,确定不同阶段、不同资源条件下需要做到的不同层次的目标,进而确定工作重点和工作方法。团队人数不同,信息安全工作的重点和采用的具体方法也就不同。

1.兼职的信息安全

信息安全团队建设之初,往往是从综合团队安排1人兼职承担所有信息安全工作职责。此时金融企业的安全工作,在安全管理方面往往只能做到“被动”式地满足监管要求,基本上是来一个文件处理一个文件,来一个检查应对一个检查,发现一个漏洞封堵一个漏洞,很少有主动的检查、评估工作,也很少能举一反三的主动发现漏洞并实现整改。在安全制度建设方面,较难有所建树。

在开发全生命周期的信息安全防控、运维全流程信息安全防控工作中,只能组织开发、运维岗位的人员自身来配合安全工作,负责开发、运维相关领域的自查和评估。

安全技术方面基本以外包为主,通过外购安全设备、安全服务,来实现最基本的安全工具的部署和应用,此时的安全策略基本上可以先采用“出厂配置”,然后由外购的安全服务来提供定期的分析和调优。此外,通过外购渗透测试和漏洞扫描等服务,来帮助发现信息系统的技术漏洞。

对内外部发现问题的整改督办工作力度难以到位,更多依赖被检查对象的自觉性,基本对方说完成整改,安全人员就接受结果,没有时间和精力去验证结果。

2.一个人的信息安全

如果有1个专职的信息安全人员,安全管理方面的工作除了被动应对外部检查审计外,已经可以实现一定程度的主动发现风险和主动的安全检查。

在安全制度建设方面,此时可以处于起步阶段,牵头建立起关于加解密管理、数据安全等核心的制度规范。

在运维安全方面,可以组织内部安全自查工作,将安全检查工作划分为机房、网络、系统、应用、终端等多个领域,但只能做到每个月轮换一个领域开展自查工作,全年基本覆盖所有领域。检查深度上,可以先做到“从无到有”,离“从有到优”还有一定距离。

在开发安全方面,可以建立一定的安全开发规范,提供给开发人员执行,但很难去介入开发过程的监督审核,难以检验开发规范落地效果。

安全技术方面,仍然继续依靠外包资源开展安全工具的维护、策略调优、渗透测试、漏洞扫描等技术防护工作。

对内外部发现问题的整改督办工作力度仍然难以保证,被动接受被检查对象报告的结果,有余力的时候可抽查一定比例的证明材料。

3.两个人的信息安全

当有两个专职信息安全人员时,安全管理和安全技术就可以各由一个人负责。此时,可以安排两个员工分别开展安全管理和安全技术两个专业领域的学习,往各自的专业领域发展。

安全管理方面,监管要求、行业标准、制度流程可以作为安全管理人员的必备技能,要求必须熟悉、掌握、应用。监管要求的达成应该更加主动,除了必须完成的“功课”外,还应自主对照所有监管要求开展合规性分析,弥补短板。此时的分析,主要在于分析制度、流程、机制是否能达到监管要求,对于执行落地情况较难深入检查验证。

安全制度方面,可以开始规划制度体系,制定企业的整体安全策略,并且对于开发安全、运维安全、信息安全、业务连续性管理、外包管理等建立起总体的管理办法,明确各流程中的安全管理要求。

内部的安全检查应该可以实现常态化机制了。在运维风险管控方面,检查列表覆盖运维工作的关键流程(例如事件和应急处理、生产变更处理和数据备份管理等几个流程),检查深度上可以开始“从有到优”,更加详细具体。

在开发安全方面,可以建立覆盖需求分析、设计、编码、测试、投产全生命周期的应用安全基线和checklist,交给开发人员自查。可以在关键技术领域参加技术方案评审(例如加解密方案、互联网应用安全等领域),但对于规范落地的检查仍然难以到位。

安全技术方面,可以开始有一定的自主控制能力,安排1人学习掌握常见安全工具的策略,在外包资源的帮助下,初步具备攻击情况分析和策略调优的能力。

对内外部发现问题的整改督办工作力度增大,参照“二八原则”,对20%重要整改事项的目标效果可以开展验证,对于80%的绝大部分的非重要整改事项整改,仍然先继续被动接受结果。

4.三个人的信息安全

对于中小型金融企业来说,如果能有三个专职信息安全人员,就已经非常幸福了。此时可以组建起独立的安全团队,从中挑选一个作为团队的负责人整体安排工作,最好能挑选一个在安全管理和安全技术方面都有过一定的经验的人员来承担,走“广”的路线;另外两人分别担负起安全管理和安全技术的职责,走“专”的路线。

安全管理方面,监管要求的合规性检查应该“地毯式”铺开,自主对照所有监管要求开展合规性分析,除了分析是否有对应的制度、流程和机制来达成监管要求外,对于实际的执行应该通过检查、抽查等方式检验。

安全制度方面,应建立起相对完整的制度体系规划,除了开发、运行等围绕科技项目生命周期的管理制度外,科技管理、外包管理、信息安全管理等科技支撑性质的制度也应该建立起来。有条件的金融企业,可以开展ISO27001信息安全管理体系认证,通过对照标准,建立起完整、规范的体系文件,消除制度空白和盲区,促进制度执行。

内部检查的力度可以进一步增大。在运维风险管控方面,检查列表应该覆盖运维工作的所有流程和所有领域,轮换开展深入检查。除了检查制度、流程、机制是否完整外,更多的重点放在实际执行情况是否符合要求。有条件的金融机构可以申请ISO20000IT服务管理体系认证,建立覆盖运维全流程的体系文件。

在开发安全方面,重点要检验需求分析、设计、编码、测试、投产全生命周期的应用安全基线和checklist的落地情况,通过技术方案评审、开发人员自查、信息安全团队抽查的方式确保规范落地。

安全技术方面,仍然保持一定的自主控制能力,安排1人学习掌握常见安全工具的策略,对攻击情况分析和策略调优的分析更加到位。渗透测试、漏洞扫描工作仍然依靠外部资源开展。

对内外部发现问题的整改督办工作,继续参照“二八原则”开展,但对于20%重要整改事项的目标效果可以开展认真细致的验证,对于80%的非重要整改事项整改,抽取部分证明材料验证。

5.N个人的信息安全

从4个人以上的信息安全团队开始,就可以根据“余力”的情况,在安全管理或者安全技术方面分别加强。

安全管理工作,主要从深度、精细度方面提升,监管要求达成情况的检查频率可以提高、抽样比例可以提高;安全制度的体系架构可以继续优化,制度的层级、关联关系可以梳理得很清晰,制度的细则可以覆盖到所有的领域,制度的可执行性可以进一步通过培训、检查、反馈、修订的闭环实现提升,制度的电子化“硬约束”可以逐步增加;内部安全检查可以往纵深发展,覆盖范围、频度、深度可以持续提升,开发安全的规范执行检查应该更加到位。

安全技术工作还是继续依赖外包资源开展,因为金融企业面临的巨大的“黑产”市场,很难靠金融企业自身的寥寥数人来应对,需要依靠专业的安全团队,运用专业的安全工具,才能与专业级的黑客抗衡。但是金融企业一定需要培养一定的自主掌控能力,特别是要培养安全人员对于业务的理解能力,更多地挖掘业务逻辑方面的漏洞,更好地把控外部安全团队的工作质量。

特别需要说明的是,对于安全技术架构和安全技术基础设施建设的职能,有的金融企业可能会放入队伍更庞大的IT运维团队的职责中。但从专业性、敏感性和安全技术防控的统一性来考虑,最好在人员允许的情况下,逐步调整为安全技术团队负责。

6.提升人员单位产出:“安全管理技术化,安全技术管理控”

上面的实施路径,是信息安全管理工作的传统路线。由于信息安全岗位始终是职数有限的,管理者更多的要思考如何提升人员单位产出,在人数限制的情况下实现“弯道超车”。这就需要另外一个招数,“安全管理技术化,安全技术管理控”。

  • “安全管理技术化”,意思是逐步建立可量化、可视化、一体化、自动化、智能化的信息科技风险管控机制。具体手段包括建设可视化的信息科技风险预警和整改追踪平台;建设自动化、可量化的信息科技风险监测和计量机制;建立程序脚本和检测平台以实现自动化检查;实施安全事件管理平台和运作安全运营中心等。

  • “安全技术管理控”,意思是不能“唯技术论”,认为部署一大堆最先进的安全工具就能防控风险。而应先明确安全技术工具实施是想实现怎样的安全管理工作目标,在技术运用过程中不停地思考和衡量目标是否达成;同时应该将安全工具的应用超越简单的操作层面,进化到不停地开展管理策略和风险监测模型的回顾、检讨、调优,建立跨团队、跨系统、跨平台的一体化管理体系。

六、信息安全团队绩效体系建设

合理设立信息安全团队绩效考核体系,既有利于促进信息安全团队更好地围绕目标开展工作,又能衡量和展示信息安全团队的成绩,所以必须在每年度末就开始考虑下一年的绩效指标体系。

为了促使安全团队的目标更为清晰和一致,职责分工确定后就开始设置绩效目标。主要步骤为:

  • 第一步,根据企业风险防控的要求,确定信息安全团队的整体绩效指标;

  • 第二步,分解为信息安全管理和安全技术两个团队各自的绩效指标,确保两个团队的“合力”能满足整体绩效指标要求;

  • 第三步,确定各个指标的计算口径、数据收集方式、监测频率等。

(一)绩效体系建设原则

1.既要设置过程指标,又要设置结果指标。

过程指标主要衡量做到还是没有做到,因为有些常规动作,不管结果怎样,都必须要做;结果指标主要衡量做得好还是不好。

例如,信息安全工作计划达成率(衡量每季度开展一次全面的漏洞扫描、每年开展两次渗透测试、互联网应用系统投产前必须开展渗透测试等这些“规定”动作是否做到位),就是一个常见的过程指标,可以把每年的主要安全工作列出来,规定达成的比例,按比例计分。

信息安全整改完成率,是一个结果指标,分子为按时完成的信息安全整改工作数量,分母为所有信息安全整改工作数量。可以设置一定的容忍度,例如完成90%以上就可以得满分,90%以下再按档次计分。

2.既要设置客观性指标,又要设置主观性指标。

信息安全工作,态度决定一切,所以要在客观指标的基础上,补充一些主观指标,衡量工作态度和岗位胜任能力。例如可以在工作技能、工作主动性、团队意识、执行力、服务态度、学习意愿和学习能力、工作量、工作质量等方面,设置优、良、中、差等几个等级,由上级给出等级判断和评分。

3.既要设置衡量安全团队自身工作情况的指标,又要设置其他团队开展安全工作情况的指标。

信息安全工作,大部分其实都不是信息安全团队自己动手完成的,而是要协调、调动开发、运维等其他团队来完成。所以需要一方面衡量信息安全事件发生数、主动发现风险数等信息安全团队直接达成的目标,另一方面要衡量其他团队风险整改率、其他团队违规次数等需要配合工作是否达成。

4.既要在安全团队设置安全类考核指标,也要在开发、运维等其他团队设置安全类考核指标。

仍然鉴于信息安全工作是信息安全团队组织其他团队一起达成目标的,所以除了在信息安全团队建立绩效考核指标外,在其他团队的绩效考核指标中也纳入一两项信息安全工作相关指标,才有利于工作的开展,有利于促进整个信息科技大团队的目标一致、劲往一处使。

(二)定量(客观性)KPI设置建议

先建立一个整体KPI指标库,然后根据信息安全团队成员的工作重点,从指标库中选择对应的指标衡量,通常选取指标3-5个为宜。考虑到考核工作本身占用的工作量比较大,考核频度通常以季度为宜。

指标库中可选指标建议如下:

序号

KPI指标名

具体解释

备注

1

计划完成率

当期按计划完成的总项数/当期工作计划总项数

2

创新及规范化建议采纳率

对工作方式、方法、规章制度、流程等提出或拟定或制定的创新性或规范化建议,经采纳予以考核。

不同岗位,指标值的要求不同。

3

岗位储备率

考核处室储备多少人才可以替换多少岗位。从两个方面考核:

1、能够胜任两个岗位的人员数,占50%;

2、能够胜任两个岗位的人员数对应的处室岗位覆盖率,占50%。

适用于团队负责人

4

主动发现风险个数

考察主动执行风险评估和发现风险的能力。可以按区间考核,例如:

考核期内发现10个以上有效风险,5分,[8,10个),4分,[6,8个),3分,[4,6个)2分,[2,4个),1分,1个及以下,不得分。

5

风险整改率

这是风险整改执行和监督力的表现。计算公式建议:

已完成风险整改数量/应完成风险整改数量

风险整改完成数量以完成最终目标(或阶段性)目标为计。

适用于开发、运维等其他团队

6

风险整改验证准确率

对检查发现风险的整改情况进行验证:

验证率=当期完成验证项数/当期需要验证的总项数

7

检查发现违规次数

考察制度执行情况检查效果,考核指标为主动发现不符合制度要求的违规情况次数。

适用于开发、运维等其他团队

8

制度建设完成率

已完成当期制度建设计划数量/当期计划制订(或修订)制度建设数量

适用于开发、运维等其他团队

9

制度合规操作率

制度合规操作率=制度检查合规项数/制度检查总项数

适用于开发、运维等其他团队

10

主动提出信息安全技术要求并得到采纳的次数

考察岗位人员主动关注信息安全技术风险,主动关注信息安全技术的发展趋势,主动提出信息安全技术层面要求的能力。以发现个数为记。

11

安全方案审核及时率

考核期内可研报告、概要设计、测试案例等安全方案审核工作的完成情况,要求在1-3个工作日内完成审核意见反馈。

及时率=考核期内实际按时完成的总项数/考核期内应按时完成的总项数

12

信息系统等保测评符合率的平均增长率

考核期内三级以上信息系统开展等保测评及整改工作的效果:

平均增长率=考核期内各三级以上信息系统等保测评符合率与上次测评相比的增长率总和/开展等保测评的各三级以上信息系统总项数

13

WEB应用漏洞扫描结果风险评估工作完成率

考核期内WEB应用漏洞扫描结果风险评估工作完成情况,要求在3个工作日内完成审核意见反馈。

完成率=考核期内实际完成的总项数/考核期内应完成的总项数

14

信息安全风险漏检率

考察主动执行风险评估和发现风险的能力。

漏检率=外部机构发现的但是自查未发现风险的数量/外部机构发现的风险总数

15

各类整改通知、风险评估报告按计划完成率

总行各类检查、风险评估的报告、整改通知,在完成1-3天内发出。

按计划完成率=考核期按计划完成的项数/考核期内应完成的总项数

16

监管合规达成率

监管符合度=完全满足的监管要求条款数/所有监管条款数

此外,还可以设置重大信息安全事件、重大信息安全攻击事件、监管通报重大风险、监管评级降级等一票否决型指标,一旦触发则整个考核期内的分数可以一朝归零。

(三)定性(主观性)指标设置建议

定性指标的设置,主要目的是在于KPI指标有限,不能完全衡量一个人的所有业绩,特别是工作态度和工作能力方面,需要上级给出一个主观性的衡量。但定性指标设置通常不宜过多,不超过5个为宜,而且在整个考核分值中的占比不宜超过40%。

以下定性指标供参考:

序号

KPI指标名

具体解释

备注

1

执行力

能正确领会和理解规章制度及领导布置的工作任务和工作要求并严格贯彻落实。

2

工作技能

胜任本职工作岗位的知识水平和专业技能,并能通过有效沟通协调处理各种相关事项,以确保各项工作的按时、按质和按量完成。

3

工作态度

积极主动的做好本职工作,责任感强,具有良好的团队协作意识和合作精神。

4

工作量

工作量饱和程度(标准、超负荷、低于标准)。

5

工作质量

工作结果的优劣程度和提交件的成功率。

6

技术学习及应用

结合自身岗位职责,积极主动开展技术学习,将学习成效运用到工作中。

7

学习意愿和学习能力

强烈的自主学习意愿,快速学习掌握知识和技能的能力。

8

工作主动性

主动承担工作任务,承担工作责任,不得过且过。

9

服务态度

对待其他同事的请求能够耐心、及时的回应和解决问题。

10

团队意识

考虑问题基于团队的利益出发,与同事良好协作完成目标。

七、信息安全人员的职业规划

金融企业的信息安全人员,主要分成两类:

  • 第一类是专职的信息安全团队成员,其中分为团队负责人、安全管理和安全技术几个子类;

  • 第二类是开发或运维团队中从事信息安全工作的人员。

其中第一类可以由第二类转化而来,第一类的几个子类间也可以相互转化,例如开发人员转型开发类的信息安全人员,然后转型为专业的安全人员;运维人员转型至运维类的信息安全人员,然后转型为专业的安全人员;安全管理人员可以转型为安全技术人员;安全技术人员也可以转型为安全管理人员。诸如此类。

对于专职的信息安全团队成员来说,如果确定要从事信息安全工作,首先必须要先考虑清楚,自己是走安全管理路线,还是安全技术路线;然后一旦选定,就埋头苦干三年,在自己负责的领域做到极致的专业,从0到1,从1到N不断地学习成长;之后在专业的基础上,继续选择是在深度上继续进阶,还是在广度上拓展;最后,考虑是走向安全团队负责人、CSO(首席安全官)、还是转型去其他团队。对于信息安全团队成员来说,如果想突破信息安全领域转向其他领域工作,就要尽早实现转型,否则难度很大。

对于开发或运维团队中从事信息安全工作的人员来说,角色会有点“尴尬”,似乎既懂开发或者运维、又懂安全,属于复合、跨界人才,但会面临两者都知道、两者都不精的情况,很难在专业能力或者管理能力上有大的突破。所以建议要么尽快转型做安全团队专业人士,要么转型做开发或运维团队专业人士,或者让自己具备能力做团队主管,走管理路线。

总体来说,由于信息安全功能定位的特殊性,信息安全与科技主营功能,以及金融企业的主营业务之间,都有点距离。这也导致了信息安全团队的规模较难壮大,中小型金融企业往往只能安排1-3人专职从事信息安全工作,大型金融企业可以拓展到十人以上,极少数国内大型银行才可能会到几十人的规模。所以,信息安全在金融企业内部的功能相对来说比较局限,只能是一个相对较小的舞台。最高的职位也许能做到安全总监或CSO,大部分充其量就是安全团队主管的角色。这就是安全团队的“天花板”问题,如果“天花板”已经基本确定不会是很高的角色,那么信息安全团队的成员,应该或者把自己培养修炼成非常“高精尖”的技术专家,或者转型至其他团队或者管理路线,作为自己的目标。

有个不一定绝对,但相对比较真实的说法是:如果你想成为公司的CIO,带领数百上千人的团队,主导公司内部IT,成为老板甚至是董事会眼中的热门人物,那么还是不要选择信息安全,如果你的终极目标是企业的CEO,那么也请尽早的离开信息安全,去做企业的主营业务。

任何一个硬币都有两面。有利的一面就是,信息安全作为一项基础性功能,已经越来越成为信息科技部门下开发、运维、规划等各子专业的人员必备的技术之一。因此,具备信息安全专业能力,也许可以让信息安全从业人员在转型至信息科技部门的其他专业团队时更具有差异化的竞争力,而不是让他们最终一直保持为专门的信息安全专家。

八、信息安全团队与其他团队的关系处理

信息安全工作中,绝大部分的落地工作基本上都非信息安全团队自身可以独立完成,而是在其他团队内完成的,需要开发、运维、科技管理等其他团队的密切合作方可达成目标。因此,与其他团队的关系处理,成为信息安全团队不可回避的工作,甚至在某种程度上成为成败的关键。

(一)基本原则

1.冲突不可避免,但目标必须一致。任务重、资源紧是科技部内各团队的常态,由于各自工作目标、工作重心、汇报路径的不一样,导致其他团队与信息安全团队不可避免会存在一定的冲突。但信息安全工作是保障系统稳定运行、防范攻击的底线要求,所以各个团队必须统一思想,把信息安全的目标作为自己团队的目标之一,认识到大家只是不同的职责分工,但最终目标都是在确保守住风险底线的前提下,大家一起应对不确定性,通过共同协作、互相补位以实现更好的发展。

2.不得罪人的信息安全团队,不是好的信息安全团队;把天下人得罪光的信息安全团队,也不是好的团队。信息安全团队之所以要与开发、运维、科技管理等团队保持相互独立,就是要发挥检查和监督职能。如果处处做“和事佬”,生怕得罪人,不敢出具反面意见,信息安全团队只会跟其他团队“一锅粥”,难以体现专业能力。但是,如果时刻以“东厂西厂”的心态来工作,也会成为“众矢之的”,得不到大家的配合。因此,必须要寻求一种平衡,把控住“度”,在守住风险底线的前提下,在关键问题上表达专业意见,在非关键问题上可以适当让步,大家互相妥协,达成一致的目标。

3.君子和而不同,小人同而不和。信息安全团队与其他团队共同做事的时候齐心协力,事情做完后大家互不影响,给对方独立的空间,这就是和而不同。比较好的做法是,心理上对别人和睦友善,但是在对待问题的观点上不会一味的附和别人,有自己的主见,能体现专业性。同而不和则恰恰相反,心底可能很嫌弃这些人或事,但在平时别人表达观点的时候为了使自己看起来和大家一致,从而一味附和他人观点,这样的做法很难保持自己的独立性和专业性。

4.风险管理必须以促进业务发展而非阻碍业务发展为目标。信息安全团队不能一味的其他团队对立或总是“Say no”,而是要更多的要思考,如何合法合规的帮助其他团队达成目标。要懂业务、懂开发和运维等科技的其他职能,要深入一线了解现场情况、了解一线的困难和资源状况,帮助他们想办法以最小的代价、最高的效率做到合规。如果只是在旁边观望、挑刺,外加指手画脚地要求整改,就很容易把自己孤立起来,得不到其他团队的支持。

(二)安全团队关系管理

1.安全与开发

信息安全团队与开发团队,可能是“冲突”最多的两个团队。因为开发团队的天职是高效满足业务需求,如果需要更多地考虑安全控制要求,就很可能导致逻辑控制复杂度更高,客户体验受到制约。

信息安全团队必须深入了解安全团队所面临的业务压力,以同理心对待,深入了解技术架构和业务逻辑,并帮助开发人员考虑如何采取最优方案,取得安全性和效率、客户体验的平衡。全生命周期的安全管理措施,制定起来虽然复杂,但是执行更是艰难,所以信息安全团队要协助开发人员,针对不同安全级别的应用系统,采用不同复杂程度的安全开发基线,避免“一刀切”导致的资源浪费和项目周期延长。

2.安全与运维

信息安全团队与运维团队,是目标最一致的两个团队,因为运维人员的天职也是风险控制。信息安全团队必须深入了解运维工作流程,理解每一项运维流程设计的必要性,掌握运维关键风险,并在日常工作中帮助运维团队发现风险,提出风险控制的措施,继而通过持续的检查,帮助运维团队巩固落实风险控制措施,降低风险隐患发生的可能性。

3.安全与科技管理

信息安全团队与科技管理团队,在开发和运维管理的职能上可能会略有重叠。例如有些安全整改工作同时会是科技管理团队制定的部门工作计划表中的任务,如果双头管理,会给开发和运维团队造成困扰,也会在整个部门的工作上形成重复浪费。所以安全团队应该多一些跟科技管理团队的沟通,对于同一件事情大家只开展一次,通过信息的共享实现高效管理。

另一方面,科技管理团队也会有风险,例如信息科技治理的合理性、部内制度流程的合理性、预算和商务管理工作的合规性、IT资产管理的合规性等,也需要安全团队来检查把关。信息安全团队还必须懂一些科技管理、财务和资产管理等知识,才能更好地发现科技管理中的问题并提出解决建议。

4.安全与业务

信息安全工作是“后台中的后台”,与业务打交道的时候往往就是在“Say no”的时候,或者主动出击对业务进行数据安全检查、培训教育、病毒防治等场合。所以业务对信息安全人员的感觉很可能是“见到就知道没有好事”。信息安全人员需要摆正心态,向业务人员耐心解释自己工作的出发点和价值。同时需要多学习一些业务知识和业务相关的监管要求,把握住“业务风险”和“科技风险”的边界,属于业务风险性质的决策权交还给业务部门,不要越界干涉,做出“吃力不讨好”的事情。

5.安全与外包

外包风险是金融企业信息科技风险的重要组成部分之一,信息安全人员经常需要对外包风险进行检查和评估。对于外包人员的管理相对金融机构内部人员来说更难一些,因为没有绩效考核、薪酬奖惩的权利,而且外包人员流动性相对较大,外包风险很可能治标不治本。

信息安全人员需要形成常态化的外包培训机制,经常性、分批次地对外包人员进行信息安全意识教育;“擒贼先擒王”,对于外包团队的负责人要先开展教育,提高安全意识水平;在合同中增加条款形成法律性的约束,要求现场人员个人签署保密协议;日常检查频度需要提高,最好每个月开展外包检查,确保工作长效机制的建立。

6.安全与监管

金融机构的信息安全团队通常是信息科技部门与监管沟通的“窗口”,一定要掌握好与监管沟通的频率和方式方法。要建立定期沟通报告的机制,多参与监管组织的活动(例如培训、会议、课题研究等),平常就“多露脸”,使监管能了解本企业信息科技工作的亮点,而不能等到出事了才第一次被监管感觉到“存在感”。

针对本企业已知的风险,也需要根据实际情况适当向监管提前报备,同时提供自己的解决方案和整改计划,可以考虑向监管请教同业的实现方式,请他们或者直接指点,或者创建同业交流的平台,或者安排与相关领域先进同业直接的学习机会,这样就能争取到监管的帮助、支持和理解,减少“意外惊喜”的发生。

不管是与哪一类团队的沟通,信息安全团队都切忌把自己当作局外人,而应设身处地地站在对方角度考虑问题,把发现问题当作双方的目标而非仅仅信息安全团队的绩效,把问题整改当作双方必须共同达成的任务而非仅仅其他团队单方面的工作。这样方可建立良性的沟通机制,从而使得信息安全工作机制得以有效运转。

附注:立言老师金融从业经验丰富,具有十余年商业银行总行科技工作经验,担任全国性银行信息安全团队负责人,主持过两家商业银行全行信息安全工作,包括信息安全管理和技术规划、ISO27001信息安全管理体系认证、信息安全团队建设等,对信息安全管理相关的组织、架构、制度、流程,以及信息安全技术体系有深入全面的理解。

声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。