信息化在为商业银行带来高效率、低成本、易创新等优势的同时,也带来了越来越多的风险隐患。信息系统安全性对于商业银行稳健运营至关重要。业界普遍认为,提升信息系统安全性的最佳方式不是检查和整改,而是在研发阶段同步做好安全需求分析、安全设计、安全编码、安全测试和安全审核等一系列管理活动,即研发安全管理工作。建立完善的信息系统研发安全培训体系,建设一支高素质的安全人才队伍,是做好研发安全管理工作的必要条件之一。
近年来,我国商业银行逐步推进信息系统研发安全管理工作,从各方面提高信息系统的安全水平。但由于重视程度不够、基础薄弱等原因,研发安全培训工作相对滞后,培训水平落后于整体研发安全管理水平,主要体现在缺乏全面的培训体系、培训内容设计不合理、培训方式单一、培训后评价不充分等方面。
商业银行的持续快速发展对信息系统安全性提出了更高的要求。研发安全管理工作是提高信息系统安全性的重要抓手。针对我国商业银行研发安全培训工作不足的现状,研究并建立研发安全培训体系已成为当务之急。为培养一支专业的研发安全管理工作团队,商业银行应紧密结合实际工作需要,按照全面覆盖、突出重点,因地制宜、因材施教,引入激励、注重考核的原则,逐步建立结构清晰、符合银行特色、涵盖各类安全管理理论和技能,满足银行发展战略要求,覆盖员工职业生涯的全面的培训课程体系。
一、 培训课程
1、监管要求类专题培训:包括我国监管机构发布的《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《中国银行业信息科技“十三五”发展规划监管指导意见》等监管要求。
2、信息安全制度培训:包括各银行依据信息系统全生命周期安全管理原则所制定的关于安全立项、安全研发、安全投产、安全测试、安全停产等一系列安全制度与规范。
3、信息安全标准培训:包括信息系统安全等级保护标准2.0、ISO 27001标准、CC标准(The Common Criteria for Information Technology security Evaluation,CC)等。
4、安全研发技术培训:包括安全架构设计、数据库安全设计、威胁建模、安全编码规范、代码安全审计等。
安全架构设计,包括减小攻击面、深度防御、最小权限原则、安全默认设置等内容;
数据库安全设计,包括数据库设计过程中的安全漏洞及解决方案;
威胁建模,包括威胁建模概述、威胁模型的设计意义、基于威胁模型的编码约束等内容;
安全编码规范,包括.NET、Java、C/C++等语言安全编码的各种规则,例如缓冲区溢出、整数算法错误、跨站点脚本、SQL注入等;
代码安全审计,包括代码安全审计的标准、方法与工具等。
5、安全资格认证培训:包括国际认可的信息安全专业资格认证培训,例如国际注册信息系统安全专家(Certified Information System Security Professional,CISSP)、国际信息系统审计师(Certified Information Systems Auditor,CISA)等,适用于信息安全专业人员进一步提升专业水平。
6、安全意识培训:包括信息安全基本知识、信息安全形势、信息安全事件案例、信息安全等级保护政策、信息安全管理制度和工作流程等内容。
二、培训对象
研发流程不同的阶段有不同的安全要求,相应的需要拥有不同资质的人员去完成。因此,首先应明确研发过程中不同岗位的安全职责,从而进行针对性的培训。根据银行业信息系统研发工作实际情况,主要涉及信息安全岗位人员和非信息安全岗位人员两大类。
信息安全岗位人员是指专职或兼职从事信息系统研发安全管理相关工作的人员,根据岗位职责不同,主要包括以下三类人员:
1、信息安全管理员。由项目组内开发人员兼任,负责项目开发全过程的安全管理工作。信息安全管理员需具备较丰富的研发工作经验,熟练运用常见安全技术和工具。
2、信息安全督导员。是研发机构内部设置的专职从事安全管理工作的人员,负责全程跟踪和督导项目组开展研发过程安全管理工作。信息安全督导员需参加全面系统的信息安全知识培训,掌握和具备岗位所需知识和技能。
3、安全专家。该角色由研发机构安全管理部门或研发部门具备较高专业水平的人员担任,负责参与项目各阶段安全评审工作。安全专家需具备全面的信息安全专业理论知识和丰富的实践经验,能够发现项目潜在的安全威胁并给出处理策略。
非信息安全从业人员是指不直接从事信息系统研发安全管理工作的人员,但是由于他们的日常工作与信息系统安全性息息相关,因此也同样需要进行培训,主要包括以下五类人员:
1、高层决策者。负责审定研发过程安全管理工作相关方针政策、制度与规范,监督指导信息科技风险管控工作,听取相关工作汇报并做出决策。
2、中层管理人员。研发部门的中层管理人员,在安全工作中主要起着传达上级政策和传递外部信息的作用,同时负责信息系统安全方针政策与制度规范的落实。
3、系统研发人员。负责根据安全管理计划,在信息系统研发过程中执行安全要求,落实安全规范和标准;配合相关部门开展研发安全检查工作。
4、全体员工。包括银行研发机构的全部员工。
5、新员工。包括新入职的应届毕业生和转业人员、社会招聘人员等。
三、培训体系构建
根据以上分析,分别从信息安全岗位人员和非信息安全岗位人员两个角度构建商业银行信息系统研发安全培训体系。信息安全岗位人员培训体系构建如表1所示。非信息安全岗位人员培训体系构建如表2所示。
表1信息安全岗位人员培训
信息安全管理员 |
监管要求类专题培训、安全研发技术培训、安全资格认证培训、安全制度培训。 |
可在信息安全和信息系统研发两个领域选择职业提升,或成长为具备两方面素质的复合型优秀人才。 |
信息安全督导员 |
监管要求类专题培训、安全资格认证培训、安全研发技术培训等。 |
通过持续深入的培训学习和实践锻炼成长为优秀的安全专家型人才。 |
安全专家 |
监管要求专题培训、安全研发技术培训。 |
通过培训和自主学习不断提升理论水平和专业素养。 |
表2非信息安全岗位人员培训
高层决策者 |
当前国内国际信息安全形势、国家相关监管要求与政策、行内信息安全管理现状等。 |
中层管理者 |
当前国内国际信息安全形势、国家相关监管要求、国家信息系统等级保护政策、行内信息安全管理现状等。 |
系统研发人员 |
安全研发技术培训、安全管理制度培训。 |
全体员工 |
安全意识培训、安全管理制度培训等。 |
新员工 |
安全意识培训。 |
四、做好研发安全培训工作的其他建议
为将培训工作落到实处,实现培训目标,商业银行信息系统研发机构可从以下几方面加强研发安全培训工作。一是整合内外部培训师资源,充分发挥行内讲师熟悉内部管理风格和研发状况,利于后续追踪的优势,结合按需选取外部优质培训资源的方式,达到内外部功能互补。二是丰富培训形式,现场培训方式可采用现场考察、课堂培训、会议研讨、案例教学等多种形式,结合在实际工作中学习和锻炼,“以干代训”“以老带新”从不同角度入手开展培训;另外,充分利用网络培训具有的打破时空局限、节省培训经费和信息容量大、内容更新快等优点,两种培训方式的有机结合有利于提高培训工作效率。三是完善培训考核评估和激励机制,应有对讲师授课效果的评估,通过评估积累培训经验,改善培训效果;同时应有科学的考核机制,通过严格考核提升培训实效性。此外,还应有一定的激励措施,将培训与绩效、薪酬、岗位升迁等挂钩。四是确保培训资源投入,应提取专项资金,在经费上确保人员、设施的投入。五是做好培训档案管理,供后续相关工作调阅。
来源:freebuf.com 2020-08-17 16:55:19 by: wiwi2020
请登录后发表评论
注册