内容摘要：作者 | 陈峻审校 | 重楼众所周知，专为管理和跟踪员工信息而设计的人力资源信息HRIS）系统，是各个企业处理和存储敏感个人信息的关键性平台。此处不乏从就业记录和工资薪酬，到绩效评估和出勤跟踪等，范围

作者 | 陈峻

审校 | 重楼

众所周知 ，何对专为管理和跟踪员工信息而设计的系统人力资源信息（HRIS）系统，是实施各个企业处理和存储敏感个人信息的关键性平台。此处不乏从就业记录和工资薪酬，安全到绩效评估和出勤跟踪等
，管控范围广泛的隐私影响数据与文件 。虽然HRIS系统可以通过自动化的评估流程，来简化招聘
、何对入职 、系统培训、实施升迁 、安全离职等各项日常人事活动与员工管理任务
。香港云服务器管控但是隐私影响，鉴于其承载信息的评估敏感程度与“含金量”，HRIS系统往往成为了内 、何对外部恶意行为者的攻击目标。一旦发生数据泄露，攻击事件则可能给个人 、以及企业带来巨大的经济损失和长远的法律与名誉影响 。

HRIS系统的安全重要性

现如今 ，世界各地的恶意行为者都在阴暗的模板下载角落，通过将先进的AI技术与传统的攻击手段结合使用的方式，持续制造着一波又一波诡异多端的复杂攻击。而HRIS系统往往存储着身份证号码、家庭住址、银行账号、绩效评估等敏感的员工数据，因此 ，面对此类不断迭代的攻击，HRIS需要通过构建完善的源码库防御机制 ，来应对各种网络威胁，确保在风险日益增加的数字环境中 ，系统及其数据的机密性 、完整性和可用性
。

一 、HRIS系统的安全管控实践

为了简化问题，我们可以从传统的网络与系统安全理论出发 
，结合法律法规 ，通过如下优秀实践来保护HRIS系统 。

尽职调查

在构建新的、高防服务器或是升级改造现有HRIS系统之前，为了保障将来交付出的系统能够达到业界普遍的安全规范要求（如：能够顺利通过网络安全等级保护的测评） ，企业应对承建系统的供应商进行全面考核与尽职调查 。此处主要涉及到评估供应商的安全与协议能力
，以及审查其对于行业标准和法规的遵守与满足状况（如
：是否持有ISO  、SOC 、以及FedRAMP等认证） 。

当然，服务器租用如果企业考虑为现有的HRIS系统更换新的运维服务供应商，那么此类尽职调查与安全审计也是必不可少的环节之一。

身份验证

为了确保只有合法的用户才能登录和查看人事相关信息，HRIS系统应默认启用单点登录（SSO）、或多因素身份验证（MFA，即要求用户在登录系统之前 ，提供两个或多个身份验证因素，如：密码+短信验证码的组合等）、以及生物特征识别等身份验证方法 ，以阻断未经授权的亿华云访问，保护HRIS系统中存储的员工帐户信息。

数据加密

对于存储在物理磁盘或虚拟机、以及云端应用中的非频繁修改的数据，应采用静态加密 。例如：

使用AES Crypt ，进行文件/文件夹级加密；使用TDE（透明数据加密），进行数据库的列级或表空间加密；使用Azure Storage Service Encryption等进行云存储加密。

对于在HRIS系统内频繁流转的、以及需要与其他系统之间交换传输的数据，应按需予以动态加密。例如：

在传输层 ，可使用TLS/SSL 、IPsec加密；在应用层
，可自定义实现AES/RSA、或使用加密库OpenSSL加密 。另外，对于使用HRIS系统来处理的、某些高敏感性的个人信息，如果无需直接展示 ，则需要在使用的过程中
，保持其处于加密状态，以提供一个额外的安全层 。当然，上述提及的加密技术也应得到例行的评估和更新。例如 ：当前 ，TLS 1.0 、TLS1.1、以及SHA都已被认定为不够安全的加密技术 ，因此我们需要禁用它们，且仅使用更新的版本（如：TLS 1.3）。

访问控制

和其他应用系统类似，HRIS也需要实现基于角色的访问控制（RBAC），即：根据用户在企业内的角色对其能够访问到的内容与数据予以限制。对应到HRIS系统的使用场景中，便是不同职级或职责的员工在使用该系统时，可以查阅到的信息深度与广度是不一致的。与此同时 ，在系统的后台管理上 ，我们也需要本着“三权分立”的思想
，通过设立如下管理员角色，以规范例行运维过程 
。

系统管理员(SysAdmin)

负责HRIS系统日常的技术维护工作。包括但不限于服务器或数据库管理、系统功能的配置与维护等 。该角色不应直接参与用户数据的操作或访问控制规则的设定，不应有日志模块的访问权限 。

安全管理员(SecAdmin)

主要负责制定和执行安全策略。赋予用户角色，设置相关访问权限
，管理用户的认证信息(如：密码策略 、登录措施)、以及对敏感资源的保护措施
。安全管理员不应有日志模块的访问权限。

审计管理员(AuditAdmin)

负责监督系统运行情况 、以及异常活动。赋予日志模块的访问权限，拥有查看并分析系统相关日志的权利，但不能修改这些记录。

此外，我们需要定期调整与更新访问权限
，以便最大限度地防止因员工疏忽或恶意行为，导致敏感数据的泄露。

守法合规

对于跨国企业来说，其HRIS系统的使用场景和用户数据具有较强的地域特征。因此HRIS在构建和运维过程中，我们需要严格遵守本企业所在运营区域的数据保护法规的相关要求。例如  ：

如果HRIS处理和存储的是中国大陆员工的数据 ，那么就应该遵循《个人数据保护法（PIPL）》；如果HRIS处理和存储的是中国香港员工的数据，那么就应该遵循《个人隐私保护条例（PDPO）》；如果HRIS处理和存储的是欧洲员工的数据 ，那么就应该遵循《通用数据保护条例（GDPR）》；如果HRIS处理和存储的是美国员工的数据，那么就应该遵循《加州消费者隐私法案（CCPA）》或《健康保险携带和责任法案（HIPAA）》 。

监控警报

为了能够准确地识别和应对各种异常行为或潜在的安全威胁，我们需要持续监控并按需跟踪在HRIS系统内的各项活动 。这不仅能够起到及早发现违规行为的作用，而且可以及时阻止违规行为的持续与蔓延 。而监控的结果通常会被系统自动记录到日志里。在日志中至少需要包含如下关键信息项：

时间戳：记录事件发生的具体时间 ，精确到秒或更细的粒度，以便准确地追踪操作顺序和时间间隔。事件类型 ：记录属于何种类型的事件
，如登录
、注销 、查询、修改、删除等 ，以便分类与分析。用户信息 ：包括产生该操作的用户账号等标识信息，如有可能
，还应包括角色与所属部门等信息。操作结果：记录操作是成功还是失败
，如失败，应记录失败的原因 。客户端信息 ：记录发起操作的客户端IP地址或主机名等，以便定位事件的来源
。而在达到甚至超过设定的异常门限值时 ，系统应能够自动触发安全警报，以通知系统和安全管理员按需采取行动
。

风评审计

企业应定期（如每半年 、或是在系统发现重大改变的时候）对HRIS系统开展风险评估
，尽早识别潜在风险和脆弱性，并根据风评结果制定相应的安全控制措施，以减轻安全威胁。下文我们将详细讨论针对系统隐私影响的风险评估。

同时，我们前面提到了审计管理员这一角色，他应负责通过既定的策略和流程，定期开展安全审计，以审查安全措施的有效性  ，并确定需要调查和整改的领域。此类审计工作可由专门的内、外部审计人员执行，也可以交给安全红队来开展 。

意识培训

常言道
，员工往往是企业安全防御中最薄弱的环节 。这在HRIS系统的使用场景中显得尤为突出 。除了传统的教学式安全意识培训，我们需要定期通过新颖的互动
、游戏
、演练等形式，以及借助VR
、AI等媒介 ，提供涉及密码管理 、社会工程和钓鱼攻击等场景的识别案例与处置能力，以降低人为错误所导致的数据泄露的风险。

同时，我们应在业务部门通过设立安全联络员（security champions）这一角色，来更好地宣贯安全意识，敏锐地发现安全隐患。

二
、HRIS系统的隐私影响评估

如前所述 ，HRIS系统中处理和存储着各类员工个人隐私信息 。为了确保这些隐私信息能够得到恰当的保护 ，我们应定期对其进行隐私影响评估（PIA），以降低泄漏的风险。在具体实践中，我们可以参照如下方面开展 ：

基本触发条件

HRIS系统的新建、与其他系统的对接
 、系统发生重大变更、有新类别数据的导入 、以及默认定期（每半年或一年），都属于触发PIA的基本条件。

收集系统基本信息

在PIA的最初阶段
，我们应当通过收集信息来了解HRIS系统 。其中包括 ：各个业务功能模块，应用技术组件（如：前端、微服务、中台
、后台集成、以及数据库） 、系统部署方式（可以逻辑架构图的方式呈现）、用户入口（如：URL、客户端程序、以及微信小程序） 、以及数据字典等  。

检查系统安全态势

如何确保收集到的数据的准确性 ？如 ：是否在字段级别限制用户仅输入系统认可的特定数据格式或选项，以及是否有用户确认的输入提示
。如何检查数据的完整性 ？如：是否使用SHA-256  、MD5等哈希算法，是否做技术校验等。是否设定数据在系统中的保留期限 ？如 ：3年或5年。是否有过期数据的安全销毁流程与相关记录
？在系统展示个人数据时 ，是否能按需采取匿名化和去识别化？

评估信息生命周期

梳理HRIS系统会收集 、使用、共享或维护哪些个人信息（如：姓名 、地址 、身份证号、财务薪资、银行账号、简历
、求职信、成绩单、资格证书等）。据此将其分类为：联系信息、身份信息
、招聘信息、受聘信息、财务信息、健康信息 、福利信息、资产使用八大类
。罗列个人信息的收集来源 ，特别区分商业来源与公开途径的获取。在要求个人提供个人信息前，是否已获得其明确同意 ？明确信息收集的预期用途 ，是否已向数据主体通知或说明？是否有选项让个人拒绝提供信息、或拒绝被用于特定用途？注明信息的收集与处理的方式。查明是否会将收集的数据与其他数据合并，或将其用于任何次要商业或其他目的。注明信息会共享给内
、外部哪些系统、部门 、实体 。是否对限制个人信息的再次传播与非法使用采取了防范措施？

审查系统风险影响

有能力判定新收集/导入的数据是否带有个人信息？在收集数据时是否明示了必填项与可选项？是否定义了个人信息保护的隐私政策
？是否提供个人信息查询和纠误的途径（如 ：电话  、邮件 、在线提交、以及线下请求等方式），以及在查询和纠正前 ，是否能够验证请求者的身份？是否有设定角色来处理和告知有关个人信息的请求 、投诉
、纠正、以及删除的结果 ？是否定义了哪些角色类型可以访问个人数据？(如：普通用户、供应商 
、开发人员 、管理员等) ，以及他们的权限矩阵 
。 供应商对系统的运维服务（如
：补丁
 、升级、响应等）是否有日志记录
？是否带有识别、定位和监控员工行为的服务（如：考勤记录） ？如有，如何保障过程的合法与安全？罗列已采取的个人信息安全保护措施。例如 ：

A.物理控制 ，包括：密码锁、CCTV、门禁卡、专用设备 、托管中心等。

B.技术控制，包括
：密码 、防火墙 、入侵检测系统 (IDS)、虚拟专用网络 (VPN)、公钥基础设施 (PKI) 证书、生物识别
、硬件密钥认证等。  

C.管理控制，包括 ：定期安全审计 、离线安全备份、用户行为规则 、隐私和记录管理培训
、定期监控用户行为等。

是否有设定角色向监管机构、以及数据主体报告个人信息的丢失
、泄露、以及未经授权的访问 。是否有应急响应计划和流程？

可见 ，上述评估方面里的每一个项 ，都有助于维护安全合规的HRIS系统环境 ，确保员工数据免受外部攻击和内部滥用。可以说，随着企业越来越依赖数字化工具进行人力资源的管理，这些安全管控与隐私影响评估怎么细致都不为过 。

作者介绍

陈峻（Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验 ，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。