中國針對金融行業(yè)頒布「信息隔離墻」的行業(yè)治理規(guī)范,主要是希冀從法規(guī)要求來約束金融證券,避免敏感信息不當(dāng)泄漏而產(chǎn)生如內(nèi)線交易等弊病。信息隔離墻,是指通過控制或者隔離內(nèi)幕信息及其他未公開信息在公司內(nèi)部的流動,防范公司與客戶之間、不同客戶之間的利益沖突而建立的信息隔離機(jī)制,基于法規(guī)要求,公司應(yīng)當(dāng)進(jìn)一步完善業(yè)務(wù)隔離、物理隔離、人員隔離、信息系統(tǒng)隔離、資金與賬戶隔離等內(nèi)部控制措施。公司應(yīng)當(dāng)加強(qiáng)對員工行為的監(jiān)控,指定部門對信息隔離墻制度執(zhí)行情況進(jìn)行檢查,明確對違反信息隔離墻制度行為的責(zé)任追究措施,確保各項規(guī)定得以落實。
許多金融業(yè)已通過或準(zhǔn)備認(rèn)證ISO 27001信息安全管理標(biāo)準(zhǔn)(Information Security Management System; 簡稱ISMS),本文建議從既有的ISO管理文件、作業(yè)程序中去融入「信息隔離墻」的合規(guī)作為,并運(yùn)用該標(biāo)準(zhǔn)所采用的Plan-Do-Check-Act管理循環(huán)來落實法規(guī)要求,才是畢其功于一力的有效規(guī)劃。
下圖:運(yùn)用ISMS建立企業(yè)信息隔離策略的管理模式
1. Plan規(guī)劃 (建立合規(guī)的管理制度及系統(tǒng)):
本階段包含審視金融證券公司的現(xiàn)有作業(yè)流程、信息系統(tǒng),并盤點本法規(guī)要求之利害關(guān)系人,以設(shè)置限制清單和觀察清單,對投資咨詢、證券自營、資產(chǎn)管理等業(yè)務(wù)進(jìn)行必要限制或監(jiān)控。證券公司應(yīng)根據(jù)公司經(jīng)營模式、內(nèi)控水平、風(fēng)險承受能力等實際情況,對觀察清單予以有效管理。另外盤點出信息流向及相關(guān)作業(yè)流程,設(shè)計出控制關(guān)鍵點及有效的控制程序,例如運(yùn)用窗體審批或是將系統(tǒng)存取紀(jì)錄完整留存,做為后續(xù)檢查之用。另外制定哪些人員是否適合接觸、處理敏感信息,也是規(guī)劃階段的重點工作。公司研擬合規(guī)的管理制度后,須將相關(guān)要求并入公司的安全政策中,并要求內(nèi)部員工及相關(guān)利害人簽署遵循相關(guān)政策的合同,建議盡量融入現(xiàn)有文件內(nèi)容來增訂要求項目,并做好文件版本控管,才能降低此階段的文件管理復(fù)雜性。
2. Do 執(zhí)行 (實施信息隔離管理制度及系統(tǒng)):
完成信息安全隔離墻的合規(guī)性作業(yè)程序及相關(guān)規(guī)畫作業(yè)后,則進(jìn)入實施階段。此時重在員工倡導(dǎo)及教育訓(xùn)練,讓內(nèi)部員工明了合規(guī)的重要性及如何執(zhí)行相關(guān)作業(yè)流程,最重要的是強(qiáng)調(diào)相關(guān)要求(包含依法進(jìn)行監(jiān)控)及若觸法違規(guī)之懲罰,讓員工能確實配合相關(guān)規(guī)定。
3. Check查檢 (監(jiān)控與審查):
信息隔離墻規(guī)范中提到公司應(yīng)當(dāng)設(shè)立中央控制室,借助信息技術(shù)對公司內(nèi)部流轉(zhuǎn)的相關(guān)信息進(jìn)行及時、有效的管理,例如設(shè)置限制清單和觀察清單,對投資咨詢、證券自營、資產(chǎn)管理等業(yè)務(wù)進(jìn)行必要限制或監(jiān)控;對跨墻人員進(jìn)行審批、管理。運(yùn)用信息監(jiān)控系統(tǒng)將有助于自動化查檢,尤其是針對信息傳輸交換的重要管道中設(shè)置監(jiān)控系統(tǒng),留存敏感信息的使用紀(jì)錄,這些作為都有助于做到事前嚇阻、事中查檢及事后調(diào)查等目標(biāo)。守內(nèi)安信息科技所提供的電子郵件及網(wǎng)絡(luò)使用安全管理方案,就是針對使用度高的網(wǎng)絡(luò)通訊管道,做到信息查檢及安全防護(hù)的管理工具,目前也被許多金融行業(yè)所采用。
4. Act (維持與改進(jìn)):
公司實施信息隔離墻管理制度后,無論是經(jīng)由查檢時發(fā)現(xiàn)缺失或不足,或是發(fā)生危害事件,都需要針對問題研擬改善對策(包含矯正與預(yù)防措施),依對策不同將會對應(yīng)到不同階段的改善行動。例如公司從網(wǎng)絡(luò)使用安全管理系統(tǒng)(如Content SQR)上觀察到某員工運(yùn)用實時通訊軟件傳文件的頻率異常偏高,便透過該員工的主管進(jìn)行了解及勸告,請員工務(wù)必遵守公司的規(guī)定,否則懲罰他禁用相關(guān)網(wǎng)絡(luò)服務(wù)。這就是透過ISMS管理模式來達(dá)到預(yù)防觸犯信息隔離墻的例子。
