内容摘要：作者 | 陈峻审校 | 重楼众所周知，专为管理和跟踪员工信息而设计的人力资源信息HRIS）系统，是各个企业处理和存储敏感个人信息的关键性平台。此处不乏从就业记录和工资薪酬，到绩效评估和出勤跟踪等，范围

作者 | 陈峻

审校 | 重楼

众所周知，何对专为管理和跟踪员工信息而设计的系统人力资源信息（HRIS）系统，是实施各个企业处理和存储敏感个人信息的关键性平台。此处不乏从就业记录和工资薪酬，安全到绩效评估和出勤跟踪等 ，管控范围广泛的隐私影响数据与文件。虽然HRIS系统可以通过自动化的评估流程，来简化招聘、何对入职 
、系统培训、实施升迁
、安全离职等各项日常人事活动与员工管理任务。高防服务器管控但是隐私影响，鉴于其承载信息的评估敏感程度与“含金量”，HRIS系统往往成为了内 、何对外部恶意行为者的攻击目标。一旦发生数据泄露 ，攻击事件则可能给个人、以及企业带来巨大的经济损失和长远的法律与名誉影响。

HRIS系统的安全重要性

现如今 ，世界各地的恶意行为者都在阴暗的源码库角落 ，通过将先进的AI技术与传统的攻击手段结合使用的方式 ，持续制造着一波又一波诡异多端的复杂攻击 。而HRIS系统往往存储着身份证号码、家庭住址、银行账号 、绩效评估等敏感的员工数据，因此 ，面对此类不断迭代的攻击，HRIS需要通过构建完善的模板下载防御机制 ，来应对各种网络威胁，确保在风险日益增加的数字环境中，系统及其数据的机密性、完整性和可用性。

一、HRIS系统的安全管控实践

为了简化问题，我们可以从传统的网络与系统安全理论出发，结合法律法规 ，通过如下优秀实践来保护HRIS系统。

尽职调查

在构建新的
、云计算或是升级改造现有HRIS系统之前，为了保障将来交付出的系统能够达到业界普遍的安全规范要求（如：能够顺利通过网络安全等级保护的测评） ，企业应对承建系统的供应商进行全面考核与尽职调查 。此处主要涉及到评估供应商的安全与协议能力，以及审查其对于行业标准和法规的遵守与满足状况（如：是否持有ISO、SOC、以及FedRAMP等认证）。

当然 ，亿华云如果企业考虑为现有的HRIS系统更换新的运维服务供应商，那么此类尽职调查与安全审计也是必不可少的环节之一。

身份验证

为了确保只有合法的用户才能登录和查看人事相关信息，HRIS系统应默认启用单点登录（SSO） 
、或多因素身份验证（MFA
，即要求用户在登录系统之前
，提供两个或多个身份验证因素，如：密码+短信验证码的组合等）、以及生物特征识别等身份验证方法 ，以阻断未经授权的免费模板访问，保护HRIS系统中存储的员工帐户信息。

数据加密

对于存储在物理磁盘或虚拟机、以及云端应用中的非频繁修改的数据 ，应采用静态加密  。例如 ：

使用AES Crypt，进行文件/文件夹级加密；使用TDE（透明数据加密） ，进行数据库的列级或表空间加密；使用Azure Storage Service Encryption等进行云存储加密 。

对于在HRIS系统内频繁流转的、以及需要与其他系统之间交换传输的数据 ，应按需予以动态加密。例如 ：

在传输层，可使用TLS/SSL、IPsec加密；在应用层 ，可自定义实现AES/RSA 、或使用加密库OpenSSL加密。另外 ，对于使用HRIS系统来处理的 、某些高敏感性的个人信息，如果无需直接展示 ，则需要在使用的过程中，保持其处于加密状态 
，以提供一个额外的安全层。当然，上述提及的加密技术也应得到例行的评估和更新
。例如
：当前
，TLS 1.0、TLS1.1、以及SHA都已被认定为不够安全的加密技术，因此我们需要禁用它们，且仅使用更新的版本（如 ：TLS 1.3）。

访问控制

和其他应用系统类似 ，HRIS也需要实现基于角色的访问控制（RBAC） ，即：根据用户在企业内的角色对其能够访问到的内容与数据予以限制
。对应到HRIS系统的使用场景中 ，便是不同职级或职责的员工在使用该系统时，可以查阅到的信息深度与广度是不一致的 。与此同时，在系统的后台管理上 ，我们也需要本着“三权分立”的思想 ，通过设立如下管理员角色，以规范例行运维过程。

系统管理员(SysAdmin)

负责HRIS系统日常的技术维护工作。包括但不限于服务器或数据库管理 、系统功能的配置与维护等。该角色不应直接参与用户数据的操作或访问控制规则的设定 ，不应有日志模块的访问权限 。

安全管理员(SecAdmin)

主要负责制定和执行安全策略。赋予用户角色 ，设置相关访问权限 ，管理用户的认证信息(如
：密码策略 、登录措施)、以及对敏感资源的保护措施
。安全管理员不应有日志模块的访问权限。

审计管理员(AuditAdmin)

负责监督系统运行情况、以及异常活动。赋予日志模块的访问权限，拥有查看并分析系统相关日志的权利，但不能修改这些记录 。

此外 ，我们需要定期调整与更新访问权限，以便最大限度地防止因员工疏忽或恶意行为 ，导致敏感数据的泄露
。

守法合规

对于跨国企业来说，其HRIS系统的使用场景和用户数据具有较强的地域特征 。因此HRIS在构建和运维过程中 ，我们需要严格遵守本企业所在运营区域的数据保护法规的相关要求
。例如：

如果HRIS处理和存储的是中国大陆员工的数据 ，那么就应该遵循《个人数据保护法（PIPL）》；如果HRIS处理和存储的是中国香港员工的数据
，那么就应该遵循《个人隐私保护条例（PDPO）》；如果HRIS处理和存储的是欧洲员工的数据 ，那么就应该遵循《通用数据保护条例（GDPR）》；如果HRIS处理和存储的是美国员工的数据，那么就应该遵循《加州消费者隐私法案（CCPA）》或《健康保险携带和责任法案（HIPAA）》 。

监控警报

为了能够准确地识别和应对各种异常行为或潜在的安全威胁  ，我们需要持续监控并按需跟踪在HRIS系统内的各项活动。这不仅能够起到及早发现违规行为的作用，而且可以及时阻止违规行为的持续与蔓延。而监控的结果通常会被系统自动记录到日志里。在日志中至少需要包含如下关键信息项 ：

时间戳：记录事件发生的具体时间，精确到秒或更细的粒度，以便准确地追踪操作顺序和时间间隔 。事件类型：记录属于何种类型的事件  ，如登录、注销、查询
、修改 、删除等，以便分类与分析 。用户信息：包括产生该操作的用户账号等标识信息，如有可能，还应包括角色与所属部门等信息。操作结果 ：记录操作是成功还是失败，如失败 ，应记录失败的原因 。客户端信息 ：记录发起操作的客户端IP地址或主机名等，以便定位事件的来源。而在达到甚至超过设定的异常门限值时 ，系统应能够自动触发安全警报，以通知系统和安全管理员按需采取行动。

风评审计

企业应定期（如每半年、或是在系统发现重大改变的时候）对HRIS系统开展风险评估
，尽早识别潜在风险和脆弱性 ，并根据风评结果制定相应的安全控制措施，以减轻安全威胁
。下文我们将详细讨论针对系统隐私影响的风险评估。

同时，我们前面提到了审计管理员这一角色 ，他应负责通过既定的策略和流程，定期开展安全审计
，以审查安全措施的有效性，并确定需要调查和整改的领域。此类审计工作可由专门的内、外部审计人员执行 ，也可以交给安全红队来开展。

意识培训

常言道，员工往往是企业安全防御中最薄弱的环节 。这在HRIS系统的使用场景中显得尤为突出
。除了传统的教学式安全意识培训
，我们需要定期通过新颖的互动
、游戏 、演练等形式，以及借助VR、AI等媒介，提供涉及密码管理、社会工程和钓鱼攻击等场景的识别案例与处置能力
，以降低人为错误所导致的数据泄露的风险。

同时 ，我们应在业务部门通过设立安全联络员（security champions）这一角色 ，来更好地宣贯安全意识，敏锐地发现安全隐患。

二
、HRIS系统的隐私影响评估

如前所述，HRIS系统中处理和存储着各类员工个人隐私信息。为了确保这些隐私信息能够得到恰当的保护 ，我们应定期对其进行隐私影响评估（PIA），以降低泄漏的风险。在具体实践中 ，我们可以参照如下方面开展 ：

基本触发条件

HRIS系统的新建 、与其他系统的对接
、系统发生重大变更、有新类别数据的导入、以及默认定期（每半年或一年），都属于触发PIA的基本条件
。

收集系统基本信息

在PIA的最初阶段
，我们应当通过收集信息来了解HRIS系统 。其中包括：各个业务功能模块 ，应用技术组件（如：前端、微服务、中台、后台集成、以及数据库）
、系统部署方式（可以逻辑架构图的方式呈现） 、用户入口（如：URL 、客户端程序 、以及微信小程序）、以及数据字典等
。

检查系统安全态势

如何确保收集到的数据的准确性 ？如 ：是否在字段级别限制用户仅输入系统认可的特定数据格式或选项 ，以及是否有用户确认的输入提示
。如何检查数据的完整性 ？如：是否使用SHA-256
、MD5等哈希算法，是否做技术校验等。是否设定数据在系统中的保留期限 ？如：3年或5年。是否有过期数据的安全销毁流程与相关记录？在系统展示个人数据时
，是否能按需采取匿名化和去识别化？

评估信息生命周期

梳理HRIS系统会收集、使用、共享或维护哪些个人信息（如：姓名 、地址、身份证号 、财务薪资
、银行账号、简历、求职信、成绩单、资格证书等）。据此将其分类为 ：联系信息、身份信息、招聘信息 、受聘信息、财务信息  、健康信息 
、福利信息、资产使用八大类
。罗列个人信息的收集来源，特别区分商业来源与公开途径的获取。在要求个人提供个人信息前，是否已获得其明确同意？明确信息收集的预期用途，是否已向数据主体通知或说明？是否有选项让个人拒绝提供信息、或拒绝被用于特定用途 ？注明信息的收集与处理的方式。查明是否会将收集的数据与其他数据合并，或将其用于任何次要商业或其他目的。注明信息会共享给内 、外部哪些系统、部门
、实体。是否对限制个人信息的再次传播与非法使用采取了防范措施？

审查系统风险影响

有能力判定新收集/导入的数据是否带有个人信息？在收集数据时是否明示了必填项与可选项 ？是否定义了个人信息保护的隐私政策？是否提供个人信息查询和纠误的途径（如：电话
、邮件、在线提交、以及线下请求等方式） ，以及在查询和纠正前  ，是否能够验证请求者的身份？是否有设定角色来处理和告知有关个人信息的请求、投诉、纠正 、以及删除的结果？是否定义了哪些角色类型可以访问个人数据？(如 ：普通用户 、供应商、开发人员、管理员等) ，以及他们的权限矩阵。 供应商对系统的运维服务（如 ：补丁
、升级、响应等）是否有日志记录？是否带有识别
、定位和监控员工行为的服务（如
：考勤记录）？如有，如何保障过程的合法与安全？罗列已采取的个人信息安全保护措施 。例如：

A.物理控制 ，包括 ：密码锁、CCTV 、门禁卡
、专用设备、托管中心等。

B.技术控制，包括 ：密码、防火墙、入侵检测系统 (IDS)、虚拟专用网络 (VPN)、公钥基础设施 (PKI) 证书、生物识别 、硬件密钥认证等。  

C.管理控制，包括 ：定期安全审计、离线安全备份 、用户行为规则、隐私和记录管理培训、定期监控用户行为等 。

是否有设定角色向监管机构  、以及数据主体报告个人信息的丢失、泄露 、以及未经授权的访问。是否有应急响应计划和流程 ？

可见 ，上述评估方面里的每一个项，都有助于维护安全合规的HRIS系统环境，确保员工数据免受外部攻击和内部滥用。可以说 ，随着企业越来越依赖数字化工具进行人力资源的管理，这些安全管控与隐私影响评估怎么细致都不为过 。

作者介绍

陈峻（Julian Chen）
，51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验 。