第3章 博士公司问题现状
目前,第三方理财行业在国内正处于发展萌芽阶段,其本身目前没有明确的监管机构来规范和约束对企业的内部控制管理。由于业务性质,第三方理财企业中收集并保存了大量的高净值客户的敏感信息,如姓名、电话号码、住址甚至是家庭存款和理财规模。这些信息的泄露轻则可能会被竞争对手利用来骚扰和推销产品给博士公司客户,重则这些信息如果落入了别有用心的人或犯罪分子手中,可能会用来在客户面前诋毁博士公司甚至是造成绑架、勒索、恐吓客户的恶意刑事案件。因此对于博士公司而言保护客户的隐私和敏感的客户信息显得尤为重要。
3.1 博士公司简介
3.1.1 公司历史
博士公司于 2005 年成立于上海,其前身是某知名证券服务公司私人银行部门,由于原公司业务结构化调整而导致私人银行部被迫从主要业务体系中剥离,后独立出来成立如今的博士公司。短短三年时间,博士公司由最初的仅有 1 家分公司 930 名客户发展为拥有 16 家分公司 10000 名高净值客户以及 200 名专业的理财服务顾问。博士公司 2010 年 11 月登陆美国纽约交易所顺利进行了 IPO,成为在美上市的首家(目前为止也是唯一一家)国内第三方理财机构。上市后的博士公司,凭借着“成熟的品牌”、“客观的产品筛选体系”、“个性化的客户服务”、“全国网络和优秀的理财师队伍”、“卓越的客户管理系统”为其核心价值。迅速成为国内第三方理财行业的绝对却权威。目前博士公司在坐拥数万名高净值客户的基础上,博士公司开始强势介入产品设计,包括自身成立投资银行部门自行寻找项目和标的物、成立以资产管理为导向以及利用小信托公司为“过道”等一系列措施,介入整个业务价值链的上下游,不断提升自身的核心价值。【1】
博士公司自成立至今,总共抓住了三次重大的机会,从而奠定了在国内第三方理财行业中的龙头老大地位,现有的规模和实力积累也将为将来的创新业务发展打下建设的基础。博士公司长期专注于为国内高净值客户提供财富管理和理财业务,重视客户体验和金融产品风险控制,这是成为行业领先者和有别与其他理财公司的重要原因。2007 年通过引入红杉(中国)投资以及其他风险投资,迅速将原先的商业模式由上海复制到全国,依托风险投资机构强大的财务能力,通过规模效应,博士公司在当年末(2007 年末),其收入相较年初增长了 300%。正是由于看好博士公司未来的发展,红杉(中国)和其他投资人决定,把博士公司带向另一个高度----赴美上市。2010年 11 月,在博士公司和其他战略投资人的共同努力下,成功在美国证券交易所主板上市,是中国内地首家上市的独立财富管理机构(也是迄今为止唯一一家)。其先后多次被福布斯、德勤、清科集团等权威评估机构评为中国最具发展潜力 50 强以及最具有投资价值 50 强企业。经过多年的发展,博士公司现在有一个能力优秀、经验丰富的管理团队,以及一支批在财富管理领域内为客户服务多年的理财师队伍。为博士公司未来的发展打下了坚实的基础。
3.1.2 博士公司经营状况
博士公司从 2010 年上市以来,其营业收入持续攀升,2011 年全年的净收益相较2010 年上市初有超过 90%的增长,净利润更是同比超过了 100%。如图 3.1 所示:【2】
除了专注于主业(为国内高净值客户提供财富管理和理财服务)之外,2012 年开始,博士公司积极拓展产业链的上下游,分别成立了多个全资子公司,业务覆盖金融保险、小额信用贷款、二级市场融资、TOP50 地产母基金等领域。博士公司管理层通过多元化的业务发展使博士公司从单一的财富管理机构向着多元化业务的金融集团迈进。
3.1.3 公司组织构架
博士公司现有员工约 1500 人,现有的组织结构除了按照美国证监会要求的上市公司治理体系以外,在日常的运营过程中主要区分业务部门(前台)和运营管理部门(后台)。组织结构示意图见图 3.2:【3】
如图 3.2 所示,博士公司的组织结构还是偏向于传统的职能型结构,其中区域、产品中心、业务资源中心、客户经营中心属于前台部门,主要负责公司业务上的相关事宜,目前博士公司前台部门约有 900 名左右的员工,制约比 60%。其余职能部门都隶属于后台部门,主要负责公司的日常运作和管理,目前全国约有 600 名左右的员工,占约比 40%,此次诊断的主要访谈对象大都为博士的后台部门员工。
3.2 博士公司企业信息安全诊断工作过程描述
博士公司作为国内领先的第三方理财机构,自 2003 年成立以来一直高速发展,并在 2010 年 11 月成功在美国纽约交易所上市,迄今为止是国内唯一在海外上市的第三方理财机构。由于受到海外投资人的高度关注和青睐,近年来博士公司业务扩张过于快速,以至于带来了很多管理问题,其中信息安全问题更是成为严重阻碍公司发展的最大问题之一,受到了管理层的高度关注,管理层亦希望通过一次科学的全面诊断来揭示存在和潜在的信息安全风险,本次基于 ISO27001 的企业信息安全诊断也由此而产生,下面对本次的诊断过程做简要的回顾。
(1)初期对博士公司的内外部资料进行了收集,主要包括:
①了解支持业务运作的信息系统情况。②数据从产生、录入、交互、存储以及回收的过程排摸。
③掌握按照业务价值划分数据(信息)的安全等级和受众范围。
④了解是否存在体外(非常规)的业务流程。
(2)之后进行了大规模的访谈,涉及到公司的各个职能部门的绝大多数高层(各中心负责人以上级别)以及部分中层(部门经理和主管)和员工。访谈人数统计见表2(外部访谈未计入)。【4】
(3)根据对公司业务流程的梳理情况以及 ISO27001 信息安全体系构架的实践经验,进行了文件涉及和实地访谈。根据 ISO27001 的各项风险控制领域,对于五类不同的部门和访谈对象,分别设计了五种调查问卷。调查文件统计情况见表 3:【5】
(4)对于回收的问卷数据进行数据录入,同类问卷根据不同层级进行比较。
(5)在上述基础上,补充了外部访谈和外部资料搜集工作。
(6)对于诊断情况和输出的诊断结果进行综合的汇总。
3.3 博士公司信息安全的若干问题
经过实地走访各关键岗位的负责人和员工以及对回收的调查问卷进行整理分析(问卷中每一题根据轻重原则分为 1-5 分,分析的结果采用加权平均的方式统计),根据 ISO27001 安全体系模型所得出的信息安全风险雷达图见(图 3.3)。【6】
目前博士公司在信息安全建设方面主要存在着 9 个比较严重的问题,他们分别为是企业整体缺乏体系化的安全管理机制、信息安全人力资源匮乏,信息安全组织架构不够完善、尚未建立信息资产清单、员工安全意识薄弱、未将信息安全有效融入第三方外包服务管理、系统开发和运维人员职责不明确、尚未对信息安全实施内部审计、访问控制机制尚不健全、业务连续性方面建设比较初级。在本节中将对这 9 个问题做详细阐述。
3.3.1 企业整体缺乏体系化的安全管理机制
在与博士公司的管理层访谈中了解到,管理层没有把信息安全列入企业整体战略考虑,没有意识到信息安全对博士公司这样的第三方理财机构的重要性,普遍认为信息安全是 IT 部门所应该考虑的,和主营业务和业绩没有多大关系。但由于 IT 部门在企业中的影响力有限,实际上管理层对信息安全工作提供一个明确的指导方向,除了现有的 IT 部门,博士公司也没有在公司层面上明确各部门相关负责人员的职责以及投入必要的人力和物力资源。而在日常的实际工作中,管理层对信息安全的期望和目标比较抽象,没有明确的达成标准。同时也缺乏一套方法论来识别和确认信息安全建设效果。目前在信息安全方面博士公司从整体方针策略、组织结构、规章制度、管理过程以及投入资源方面缺少一套有效的管理框架和指引来规范和实施 。因此,引入一套科学完善的信息安全管理体系是博士公司目前需要紧迫解决的问题。
3.3.2 信息安全人力资源匮乏,信息安全组织架构不够完善
在与博士公司 COO 的访谈中了解到,目前博士公司全职负责信息安全工作的人员只有一名,其隶属于信息技术中心负责人(CIO)领导,职位名称为信息安全专员,其主要工作为使用和维护系统中的各类信息安全设备,并没有实质上主持或执行信息公司安全管理和体系建设工作。由于,博士公司由于没有设立信息安全委员会,也没有设立专门的首席信息官(CISO),导致至今都没有出台如公司信息安全方针和一系列支撑信息安全方针的流程文档以及规章制度。信息安全专员由于职级较低,无法参与到公司层面规章制度的制定,同时无法直接将第一线的信息安全状况和现状传达到公司管理层。另外,各个业务部门中亦没有专人负责对接信息安全相关工作,即便颁布上述的方针政策以及一系列配套的流程制度,信息安全实施和建设依旧无法落实到具体的业务部门。因此,博士公司在信息安全方面的人力和物力投入不足以支撑整个公司对信息安全工作的期望。同时,在信息安全组织构架中也存在诸多问题。
3.3.3 尚未建立信息资产清单
明确什么是对企业最重要的信息资产是企业信息安全建设的前提,在整个访谈中,博士公司的信息技术中心负责人给提供了一份信息资产清单,其内容主要是信息技术部所管辖的固定资产,包括服务器、路由器、交换机、防火墙等。但并为对一些如数据库帐号、系统的管理员权限、以及系统中所存储的业务数据等”软“资产来进行管理。而在受访的业务部门中几乎没有人能够清晰地把自己所管辖的这一领域中的信息资产以清单的方式展现,大都只是罗列大概的信息资产情况,也没有根据其每项资产对企业的重要性而进行分级保护并确定归属责任人。个别的受访对象甚至没有意识到自己每天在接触和处理的信息资产都是博士公司的核心业务数据。正是由于这样的情况,而导致博士公司目前无法对信息资产进行有效的管控。
3.3.4 员工安全意识薄弱
博士公司作为国内领先的第三方理财机构,这些年来在企业信息化建设,以及利用信息化推动业务发展方面做出的成绩有目共睹。然而随着信息化意识的不断提高,信息安全意识并没有同步提高。上到企业的中、高级管理人员,下到普通的员工安全意识相当淡薄,在受到黑客攻击或发生信息泄露事件后,都表示不会对正常业务造成太大影响,并没有意识到其存在着潜在的巨大风险。整个博士公司随处可见人员离开后未锁屏的电脑,以及把自己系统的账户密码贴在显示器上的现象。后台业务部门,尤其是作业管理部,印有客户签章的合同文件,含有客户联系方式的快递单据,以及还未正式发布的产品资料随意堆放在公共的走道里,这些行为会导致很多的潜在内部风险。
博士公司在对员工的信息安全宣传方面也做的并不到位,目前只限于把信息安全的标语张贴在墙上,并没有定期对企业内部员工开展信息安全方面的教育和活动。同时,博士公司的企业文化也没有清晰准确的把信息安全的重要性传递给每一位员工,因此员工认识不到信息安全对博士公司的重要性。
3.3.5 未将信息安全有效融入第三方外包服务管理
博士公司出于主营业务模式和人员成本考虑,信息技术部、作业管理、客户服务部等后台核心业务部门都雇佣了大量的第三方外包服务,从事基础性服务工作。在实际的工作中,这些第三方外包人员会接触到大量接触如客户信息、合同文档、暂未公开发行的产品资料等敏感的数据。博士公司在于第三方外包服务机构所签订的服务合同中有并没有关于对所接触到数据和信息的保密条款。在实际工作中,各部门并没有对所管理的第三方外包服务人员进行严格的管理,其信息系统权限、接触数据的范围目前都参照博士公司部门内部员工而定义。若外包服务公司发生经营上的困难或人才波动时,可能会导致服务质量的下降和信息泄露的风险。另外,外包服务人员一般从事基础工作,应聘门槛较低,外包服务商如招聘时把关不严,将职业素质较低的人员招入,后期的又没有经过系统性培训,会导致外包服务人员因责任心不强、工作不到位、操作不当甚至职业道德问题,从而产生各种有意无意的信息泄露行为。
3.3.6 系统开发和运维人员职责不明确
经过对调查问卷的整理结果显示,博士公司的 IT 系统建设和运维过程中存在着一个巨大的问题,系统的开发人员和维护人员的职责界定并不明确。由于博士公司 IT部门缺少负责运营维护的运维人员。整个系统的建设从最初的需求整理、方案设计中期的实施开发、功能测试到后期的系统上线、运营维护基本都由同 1 位系统开发师人员包办。甚至是出现了 1 位系统开发人员同时兼顾负责 2-3 个系统的情况。这一现象通过实地访谈信息技术部负责人得以证实。
博士公司信息技术部的开发人员对于系统的实际控制权限过于强大,有些开发人员为了贪图便捷,系统的新开发版本不按照规定在测试环境中试运行测试,而是直接在实际的生产环境中做业务测试,由此经常造成系统的故障而导致的业务中断。开发人员和运维人员的权限共享,使得出现故障和事故时责任往往无法明确的认定责任。
系统开发人员不但可以畅通无阻地访问和控制实际生产环境中的各类系统,还可以直接进入整个博士公司最核心的 SQL 数据库系统,数据库中保存着公司的最重要的数据,如客户的信息、公司的财务状况、员工的薪酬奖励等等敏感信息。开发人员可以对数据库中的表结构、字段、记录等数据进行任意修改且无法被监控。
3.3.7 尚未对信息安全实施内部审计
在与博士公司合规与内部控制部门负责人的访谈中了解到,博士公司属于在美上市的中资公司,因此按照美国证监会要求,必须遵守塞班斯法案,每年都会有外部审计公司来对其进行审计。相比信息安全审计,塞班斯法案更偏重于财务报表方面,外部审计师对信息安全的审计通常比较粗略。同时在博士公司内部,也没有对于信息系统的建设以及信息使用进行内部审计工作。信息技术部和各个业务部门通常同时扮演着”运动员“和”裁判员“的角色,各种安全控制的有效性无法得到客观的度量和考证。
3.3.8 访问控制机制尚不健全
访问控制在整个信息安全建设和保障中起着至关重要的作用,数据的保密性和完整性需要它来落地实现。访问控制机制的定义通常是为了限制访问主体(如用户、服务),对访问客体(通常为需要保护的资源和数据)的具体访问权限,即访问控制机制明确定义了用户能做什么,以及做到什么程度。从调查问卷的结果中反映,博士公司目前无论是从系统层面的访问控制还是从业务层面的访问控制并没有按照不同的访问主体(用户)进行规范化的定义,具体表现为:
(1)无系统层面的访问控制机制首先,博士公司的信息系统在物理基础构架中就存在诸多先天性的不足,数据中心(机房)没有采用门禁系统,只要是博士公司的员工可以不经过审批随意出入。其次,虽然整个基础构架中部署了三层交换机和防火墙这样的访问控制设备,但现实情况是整个公司的领导和员工实际处在一个安全区域中,直接导致的结果是公司任何一台主机(甚至是行政前台的主机)能够畅通无阻的访问存储公司重要数据的核心数据库。另外,在业务系统账户权限的设计上也存在着重大安全隐患,目前的帐号权限没有根据各业务部门的职责角色来进行划分,在最核心的 ERP 和 CRM 系统中目前只存在部门级的权限划分,并不涉及到各职能岗位。因此造成同一个部门员工与部门经理对系统的操作的权限完全一致的情况。
(2)无业务层面的访问控制机制各业务部门在日常的业务流转中没有清晰定义出各个职务所能接触到业务数据的范围。同时,这也是造成业务系统层面中无法把各岗位职能权限划分清楚的一个重要原因。
3.3.9 业务连续性方面建设比较初级
由于博士公司整个业务都依托于现有的 CRM、ERP、OA 等信息系统中,因此保证这些信息系统持续稳定运行以及出现系统故障后有充足的预案来对抗由于系统无法使用而导致的风险显得尤为重要。在对于作业管理部和信息技术部员工的走访中了解到,仅 2012 年下半年,信息系统的故障而导致的正常办公业务停止次数多达 22次。其中最严重的一次事故直接导致博士公司丢失了 2012 年 11 月 1 日至 30 日期间入会的客户资料,由于没有完善的应急预案,整个客户服务中心被迫停止运营三个工作日。显然,博士公司在业务连续性方面存在的巨大的提升空间。
