6.1.2 安全培训体系
根据开展安全培训的需求和原则,商业银行可建立安全培训体系,针对不同层级、不同角色开展不同内容的培训,使各岗位人员掌握必备的安全知识和技能,逐步建成符合银行业务要求的、高效专业的研发风险管控团队[50]。
1.安全培训体系的建设流程
(1)培训需求分析 培训需求分析是编制培训计划、开发培训课程、设计培训项目和组织实施培训的基础。商业银行可针对研发风险管控工作岗位,结合安全策略、岗位职责和员工职业成长需要,梳理研发风险管控相关工作任务,提炼岗位安全技术技能需求,从而得出相应岗位的安全培训需求,完成培训需求分析。
(2)建立培训课程体系 根据培训需求分析结果,进一步细化待掌握知识点,同时总结以往培训经验,挖掘核心知识模块,编制形成培训课程清单。根据知识内容的不同,采取内部专家授课、外聘讲师授课、参加培训机构培训等不同的授课形式。
(3)制定培训实施计划 根据不同岗位的培训需求,科学设计培训项目。根据商业银行研发风险管控工作开展情况和人才培养需要,有计划、有步骤地组织实施培训项目。
2.安全培训体系的内容
(1)培训对象 研发风险管控工作在不同的阶段有不同的安全要求,相应的需要拥有不同知识和技能的人员去完成。根据工作分工的不同,将研发风险管控工作人员分为核心岗位人员和非核心岗位人员两大类。
核心岗位人员是指专职或兼职从事研发风险管控工作的人员,主要包括信息安全经理、信息安全督导员和安全专家。
非核心岗位人员是指不直接从事研发风险管控工作的人员,但是由于他们的日常工作与信息系统安全设计开发息息相关,因此也同样需要进行培训,主要分为以下4个层级。
1)高层决策者。负责审定研发风险管控工作相关方针政策、制度与规范,监督指导研发风险管控管控工作,听取相关工作汇报并做出决策。
2)中层管理人员。研发部门的中层管理人员,在研发风险管控工作中主要起着传达上级政策和传递外部信息的作用,同时负责研发风险管控工作方针政策与制度规范的落实。
3)研发人员。研发人员负责根据安全管理计划,在信息系统研发过程中执行安全要求,落实安全规范和标准。
4)新员工。新员工包括新入职的应届毕业生和军转干人员、社会招聘人员等。
(2)培训课程 为培养一支专业的研发风险管控工作团队,商业银行应紧密结合实际工作需要,逐步建立结构清晰、符合银行特色、涵盖各类安全管理理论和技能,满足银行发展战略要求,覆盖员工职业生涯的全面的培训课程体系。
1)监管要求类专题培训。包括我国监管机构发布的《商业银行信息科技风险管理指引》、《商业银行内部控制指引》等监管要求。
2)研发风险管控制度培训。包括商业银行制定的与研发风险管控工作相关的安全立项、安全研发、安全投产、安全测试、安全停产等一系列安全制度与规范。
3)信息安全标准培训。包括信息系统安全等级保护标准、ISO27001标准、CC标准等。
4)安全研发技术培训。包括安全架构设计、数据库安全设计、威胁建模、安全编码规范、代码安全审计等。其中,安全架构设计,包括减小攻击面、深度防御、最小权限原则、安全默认设置等内容;数据库安全设计,包括数据库设计过程中的安全漏洞及解决方案;威胁建模,包括威胁建模概述、威胁模型的设计意义、基于威胁模型的编码约束等内容;安全编码规范,包括.NET、Java、C/C++等语言安全编码的各种规则,例如缓冲区溢出、整数算法错误、跨站点脚本、SQL注入等;源代码安全审计,包括代码安全审计的标准、方法与工具等。
5)安全资格认证培训。包括国际认可的信息安全专业资格认证培训,例如:注册信息系统安全专家(Certified Information System Security Professional,简称CISSP)、信息系统审计师(Certified Information Systems Auditor,简称CISA)等,适用于信息安全专业人员进一步提升专业水平。
6)安全意识培训。包括信息安全基本知识、信息安全形势、信息安全事件案例、信息安全等级保护政策、信息安全管理制度和工作流程等内容。
3.培训体系构建
根据以上分析,分别从研发风险管控工作核心岗位和非核心岗位人员两个角度构建商业银行安全培训体系。其中核心岗位培训体系构建见表6-1。非核心岗位人员培训体系构建见表6-2。
表6-1 研发风险管控工作核心岗位人员培训体系
表6-2 研发风险管控工作非核心岗位人员培训体系
