中國針對金融行業(yè)頒布「信息隔離墻」的行業(yè)治理規(guī)范，主要是希冀從法規(guī)要求來約束金融證券，避免敏感信息不當泄漏而產(chǎn)生如內(nèi)線交易等弊病。信息隔離墻，是指通過控制或者隔離內(nèi)幕信息及其他未公開信息在公司內(nèi)部的流動，防范公司與客戶之間、不同客戶之間的利益沖突而建立的信息隔離機制，基于法規(guī)要求，公司應(yīng)當進一步完善業(yè)務(wù)隔離、物理隔離、人員隔離、信息系統(tǒng)隔離、資金與賬戶隔離等內(nèi)部控制措施。公司應(yīng)當加強對員工行為的監(jiān)控，指定部門對信息隔離墻制度執(zhí)行情況進行檢查，明確對違反信息隔離墻制度行為的責任追究措施，確保各項規(guī)定得以落實。

許多金融業(yè)已通過或準備認證ISO 27001信息安全管理標準(Information Security Management System; 簡稱ISMS)，本文建議從既有的ISO管理文件、作業(yè)程序中去融入「信息隔離墻」的合規(guī)作為，并運用該標準所采用的Plan-Do-Check-Act管理循環(huán)來落實法規(guī)要求，才是畢其功于一力的有效規(guī)劃。 

下圖：運用ISMS建立企業(yè)信息隔離策略的管理模式

1. Plan規(guī)劃 (建立合規(guī)的管理制度及系統(tǒng))：

本階段包含審視金融證券公司的現(xiàn)有作業(yè)流程、信息系統(tǒng)，并盤點本法規(guī)要求之利害關(guān)系人，以設(shè)置限制清單和觀察清單，對投資咨詢、證券自營、資產(chǎn)管理等業(yè)務(wù)進行必要限制或監(jiān)控。證券公司應(yīng)根據(jù)公司經(jīng)營模式、內(nèi)控水平、風險承受能力等實際情況，對觀察清單予以有效管理。另外盤點出信息流向及相關(guān)作業(yè)流程，設(shè)計出控制關(guān)鍵點及有效的控制程序，例如運用窗體審批或是將系統(tǒng)存取紀錄完整留存，做為后續(xù)檢查之用。另外制定哪些人員是否適合接觸、處理敏感信息，也是規(guī)劃階段的重點工作。公司研擬合規(guī)的管理制度后，須將相關(guān)要求并入公司的安全政策中，并要求內(nèi)部員工及相關(guān)利害人簽署遵循相關(guān)政策的合同，建議盡量融入現(xiàn)有文件內(nèi)容來增訂要求項目，并做好文件版本控管，才能降低此階段的文件管理復(fù)雜性。

2. Do 執(zhí)行 (實施信息隔離管理制度及系統(tǒng))：

完成信息安全隔離墻的合規(guī)性作業(yè)程序及相關(guān)規(guī)畫作業(yè)后，則進入實施階段。此時重在員工倡導(dǎo)及教育訓練，讓內(nèi)部員工明了合規(guī)的重要性及如何執(zhí)行相關(guān)作業(yè)流程，最重要的是強調(diào)相關(guān)要求(包含依法進行監(jiān)控)及若觸法違規(guī)之懲罰，讓員工能確實配合相關(guān)規(guī)定。

3. Check查檢 (監(jiān)控與審查)：

信息隔離墻規(guī)范中提到公司應(yīng)當設(shè)立中央控制室，借助信息技術(shù)對公司內(nèi)部流轉(zhuǎn)的相關(guān)信息進行及時、有效的管理，例如設(shè)置限制清單和觀察清單，對投資咨詢、證券自營、資產(chǎn)管理等業(yè)務(wù)進行必要限制或監(jiān)控；對跨墻人員進行審批、管理。運用信息監(jiān)控系統(tǒng)將有助于自動化查檢，尤其是針對信息傳輸交換的重要管道中設(shè)置監(jiān)控系統(tǒng)，留存敏感信息的使用紀錄，這些作為都有助于做到事前嚇阻、事中查檢及事后調(diào)查等目標。守內(nèi)安信息科技所提供的電子郵件及網(wǎng)絡(luò)使用安全管理方案，就是針對使用度高的網(wǎng)絡(luò)通訊管道，做到信息查檢及安全防護的管理工具，目前也被許多金融行業(yè)所采用。

4. Act  (維持與改進)：

公司實施信息隔離墻管理制度后，無論是經(jīng)由查檢時發(fā)現(xiàn)缺失或不足，或是發(fā)生危害事件，都需要針對問題研擬改善對策(包含矯正與預(yù)防措施)，依對策不同將會對應(yīng)到不同階段的改善行動。例如公司從網(wǎng)絡(luò)使用安全管理系統(tǒng)(如Content SQR)上觀察到某員工運用實時通訊軟件傳文件的頻率異常偏高，便透過該員工的主管進行了解及勸告，請員工務(wù)必遵守公司的規(guī)定，否則懲罰他禁用相關(guān)網(wǎng)絡(luò)服務(wù)。這就是透過ISMS管理模式來達到預(yù)防觸犯信息隔離墻的例子。