在众多行业里面,银行、证券等机构掌握的敏感数据较多,属于涉密级别极高的行业。因此,不管是金融监管等机构,还是金融企业自身,对信息安全都有着严格的要求。然而,金融行业信息泄露案例却依然不绝于耳,尤其是“3•15晚会”上揭露的招行、工行、农行等银行内部人员窃取、贩卖客户信息这一消息让人感到惊心。
本该有着严密内控管理的银行却“祸起萧墙”?我们就透过这一起内部泄密事件所暴露出的问题,深入分析金融行业应如何进行内部信息防泄露建设,提高安全防御强度,重塑社会公众对银行、证券等金融机构的信心。
从此次“3•15晚会”曝出的银行泄密事件来看,暴露出来的问题主要有以下几个方面:
1、对信息访问、程序应用等操作权限设置过于宽泛。如银行的员工可随意访问征信系统内的所有数据,还能通过邮件、打印扫描等方式将信息外泄出去;
2、忽视审计。此次事件泄露的信息共3千多份,泄密人员应该不止进行一次操作,但银行却没能通过审计及时发现其中的异常;
3、缺乏内部管理力度。企业没有按照监管机构规定制定相应的内控制度,或者虽然有严密的内控制度却没有严格执行,规章制度形同虚设。
导致上述问题主要有两方面的原因,一方面是这些企业防泄露工作没有形成系统化的流程,信息防泄露工作是一个长期的过程,并不是安装上一些产品就等于拥有了一个真正的安全体系;另一方面是企业对防泄露项目的执行力不足,对于金融行业来说,在安全建设方面都有很大程度的投入,却因没有很好地落实,没能真正解决信息安全问题。
构建完善的信息防泄露体系,需要系统的思路做指导以及良好的执行力加以配合。信息安全管理体系要求(ISO27001)等标准中引入了PDCA工作模式对企业信息安全管理体系进行指导。PDCA是管理学中的一个通用模型,包括P(Plan)—计划;D(Do)—执行;C(Check)—检查;A(Act)—纠正四个步骤,它是有效进行任何一项工作的过程模式。信息防泄露作为企业信息安全工作的一个分支,这一模式同样也适用于信息防泄露项目中。
下面结合金融企业实际应用情况,讲述企业如何参照PDCA进行信息防泄露,形成“主动防御——有的放矢——效果可见——持续改进”的信息防泄露流程,最大限度保障信息安全,并满足国家、金融监管部门对金融企业信息安全建设的要求。[……]