银行信息安全管理与培训措施

1.内部人员

（1）雇佣过程 从信息安全观点看，雇佣员工的过程中存在较多潜在的信息安全隐患。安全管理人员应与人力资源部门员工建立相应的沟通合作机制，将信息安全因素作为人员雇佣过程中的重要考量。

在具体的实践中可考虑的安全控制主要为人员的身份背景调查。人员的身份背景调查应结合所招募岗位的安全敏感级别在实施的详细程度和深度上有所不同，如信息安全职位的候选人应该经历更为详细而全面的背景调查。

一些常见的背景调查包括身份核查、教育和证书检查、历史工作经验验证、信用历史核查（我国的信用管理体系正在逐步完善中，且已取得了较为长足的进展）、违法违规记录调查等。

（2）在职中

1）保密协议及信息资产访问授权确认。一旦候选人接受了工作，雇佣合同就成了重要的安全文件。在雇佣合同中可考虑部署信息安全相关的保密协议。另外，涉及针对应用信息系统或重要资源的访问，还可考虑要求员工签署针对信息资产访问/使用权限的授权确认。

2）安全意识提升、培训和教育。意识提升、培训和教育计划能够有效地改善员工的行为及使员工对他们的工作更有责任感。

在安全培训中应充分考虑针对不同岗位员工的信息安全教育的差异化，如针对安全专业人员的信息安全专业技能培训、信息科技人员的安全知识教育、一般员工与管理层的安全意识的培养教育之间的差异性。

安全意识提升作为最有效的安全提升方法，可以有效地纠正员工所有危害银行信息安全的行为。通过教导员工怎样正确地处理信息、应用信息，能够降低偶然损害或者信息破坏的风险性；通过让员工了解信息安全的威胁、这些威胁能够导致的潜在损坏及这些威胁发生的方式，降低因员工认为这些威胁不严重而带来的潜在风险；通过使员工了解策略、没有遵循策略将受到的惩罚和策略破坏被发现的机制，降低一个员工试图有意错用和滥用信息的可能性。许多安全意识用较低的成本就可以开展，如录像、演讲、会议、海报、小册子、小饰物和布告牌等。

为了提升信息安全管理效应，银行还可考虑把信息安全纳入员工的业绩评估中。员工密切关注业绩评估，把信息安全任务包含进业绩评估可促使员工在执行任务时更加小心。

银行员工在职过程中的典型安全管理实践还包括采取双人控制、职责分离、职位轮换、强制休假等措施。

（3）人员解聘 在人员解聘过程中应主要考虑对员工访问信息的保护。具体的实践可考虑：

1）离任员工对信息系统的访问授权必须失效。

2）离任员工应确认归还所使用的信息资产，包括电脑、移动存储介质等。

3）应取消离任员工对银行职场、敏感区域的物理访问授权。(www.xing528.com)

针对安全等级较高的岗位的员工的离职，还可考虑开展离职审查、签署保密协议等。

2.外包服务人员

针对外包服务人员的管理，尤其是涉及银行敏感信息访问、信息资产访问的外包服务人员的管理与内部人员的安全管理较为相似，推荐针对外包服务人员的安全管理同样采取分阶段的形式来开展。同时，银监会在2013年颁布了《银行业金融机构信息科技外包风险监管指引》，其中也对外包人员的安全管理方面提出了相应的要求。

（1）提供服务前 银行人力资源管理部门应制定相应的筛选流程，其中应包含对外包服务人员在入场前进行背景检查（无犯罪记录、社保缴纳记录、技术能力与资质）的要求（咨询信息安全管理部门的意见）。该检查应与业务需求、已知风险相适宜，且相应筛选过程及结果应有记录文档。

（2）提供服务过程中 银行信息安全管理部门应与相应科技部门、人事管理部门、行政管理部门、法律合规部门等进行沟通，制定并部署与第三方服务人员相关的安全管控措施。相应的安全管控措施包括但不限于：

1）第三方服务人员相关的保密协议签署。

2）职场物理访问控制。

3）信息资产安全使用。

4）信息系统的授权访问管理。

5）第三方服务人员安全培训、安全教育。

6）第三方服务人员对银行安全要求遵从情况的评价。

7）第三方服务人员服务过程中自带办公软件的合规管理等。

（3）完成服务 在第三方服务人员完成相应的服务工作后，信息安全管理人员应重点关注其系统访问权限的回收、所使用银行信息资产的归还、工作交接过程等环节。