企业信息安全与人员管理标准
摘要
当前很多企业都在不同程度的建立了和正在使用着信息服务系统,在享受信息技术所带来的快捷便利的同时,企业管理者也时常担心机密信息是否安全,如何应对各种安全突发事情等问题。本文从信息主体―“人”的角度出发,综合分析并给出了在企业日常运营中人员处理信息的各种行为规范和参考标准。
关键词
企业,信息安全,人员,管理,规范,标准
1.引言
近年来,随着国内外经济繁荣发展和知识经济模式的到来,企业为了满足本身的业务发展需要,实现与合作伙伴以及客户的紧密联动并保持其自身竞争力,迅速上马了各种信息技术产品。云计算,自带设备(BYOD),大数据等热门词汇频繁在各个企业的信息化建设中出现并得以快速运用。但是这些也导致了各种信息安全泄露事件频发。从2012年东软集团商业秘密外泄到各大商业银行甚至是快递公司客户资料被员工贩卖,我们可以看出很多企业管理者都容易忽视了虽然企业的命脉是自身所拥有的信息,但是信息存储、使用和流转等方面的安全却是被企业人员所执行操作的。因此信息资源的掌控和人员的管理才是整个企业日常运营中的基础与核心。
2.各类人员管理
为了方便管理,我们需对企业人员进行分类。分类的方法有很多。常用的有如下几种:
1.按照地理位置,可分为工作在企业内,如办公区或厂房的;工作企业外,如出差或在家里办公的人员。
2.按照雇用属性,可分为有劳动聘用关系的内部员工和外包过来的服务人员。
3.按照专业性质,可分为一般用户和IT人员。
而从管理的周期来看,我们可以将企业人员分成雇用前,雇用中,雇用终止以及岗位调动四个阶段(如下图所示)。下面我们详细讨论一下上述各类人员的不同阶段的信息安全管理。
2.1.企业内用户
2.1.1.雇用前
一个岗位在雇用员工或聘请外包商前,应该做好该岗位的文字描述,特别要包含在信息处理过程中所对应的安全角色和职责的陈述,例如:
1.所有访问敏感信息的人员应在能访问信息处理设施前签署保密或不泄密协议。
2.具体陈述该岗位人员对哪些信息系统、服务以及资产的访问内容和程度。
3.如果合适,甚至可以将某些安全条款或职责条件延伸至雇用期结束后一段规定的时间,以免该岗位人员跳到竞争对手公司工作后造成泄密。
在招聘过程中,人力资源部门应根据相关的法律、法规对所有的求职者(或外包商)进行申请人履历(或外包商背景)真实性和准确性的验证和检查。
2.1.2.雇用中
员工入职后来到企业的办公场所开展日常工作。在雇用的整个过程中,有如下方面是需要每个员工特别引起重视和注意的:
1.员工只能查阅与自己工作相关的文档,不得擅自查阅、收集、保存、复制或转发与其工作无关的信息。
2.不得擅自将自己的工作电脑或电话转借给他人,也不可擅自使用他人电脑或电话。
3.不得私自使用电脑进行刻录或用多功能机进行扫描与复印。
4.不得私自增减或改变电脑的硬件配置。
5.在打印和装订保密材料时要在封面和每页加置密级标签。
6.短暂离开座位时应将涉密材料面朝下放置于桌面上。会议结束后及时带走涉密材料并清理会议场所。
7.过期或作废的文件不随意丢弃,应及时销毁。
8.尽量不要用免提的方式打接业务电话或开电话会议。
9.不得向供应商或合作商透露自己业务范围之外的本企业相关信息。
为了规范日常行为,加强安全意识,企业应组织所有员工,适当时可包括外包商,定期进行工作职能、组织方针及流程等方面的培训。培训的内容可因员工的角色而异。
员工要有一定的职业敏感性,有义务制止其他同事包括外包人员的违规行为和举报可能造成泄密、窃密或其他安全隐患的行为。与此同时,员工也可按照岗位角色特征对信息安全事故或威胁进行响应,向谁咨询进一步的安全建议和合适的报告渠道。企业应提供相应的举报途径(如电话号码,邮箱地址等),同时保护举报人安全。通过相应的激励的方式来实现组织的安全方针。
当然,有奖就要有罚。如果缺乏有效的管理与关怀会致使员工感觉被低估,并由此产生对组织的负面安全影响。例如,员工安全操作的疏忽或对组织资产误用甚至是滥用等。而惩戒过程应确保正确和公平,对于严重的明知故犯的情况,应立即免职、删除访问权限和特权,从而起到一定的威慑作用。
2.1.3.雇用终止
员工的雇用终止过程中应确保其归还所有先前发放的组织资产,包括移动计算设备、信用卡、访问卡、软件、文件、手册和存储于电子介质中的信息等。特别需要注意到是:对于IT相关的软/硬件系统,应删除或改变的访问权力包括物理和逻辑访问、密钥、ID 卡、信息处理设备、签名等。如果由于某种特殊原因而需要维持一个已离开的雇员、合同方或第三方帐户在企业现有系统中处于活动状态,则应在经过审批流程后,改变其密码和属性标识。
当某些员工确认已购买了原隶属于该企业的设备或一直使用着其自己的设备时,应遵循相关程序确保其内部所有相关信息已转移给企业,并且已从设备中安全删除后方允许员工带走。
对于大型企业来说,有时候分支机构人员的离职,特别是外勤人员,一定要上报总部人力资源部门知晓。与此同时,企业还应给相关的其他人员(包括其他同事)发通知,并应建议他们不应再与该已离开的员工共享或交换信息。
2.1.4.岗位调动
从管理学的角度来说,工作轮换或称轮岗对企业自身运营是有百利而无一弊的。当一名员工需被调动到企业的其他部门或岗位时,其在原岗位上对信息系统和服务以及资产的各种安全访问权限应重新被评估或修改。对不适用于或无关新的工作岗位的权限,应及时、彻底的删除。特别是那些需要销毁的文档一定要用碎纸机而非直接仍进垃圾箱或手撕。当然,员工如果要在新岗位上继续保留或使用原岗位的涉密信息,则一定要经过信息所有人都批准。
2.2.企业外用户
员工在企业以外的场所,如果并非工作所需,不得将涉密资料随意带出;如确属工作所需,应在带出前向所在部门经理提出申请,并在离开企业时出示有效的批准凭证。在旅途中,员工应将含有涉密文件、移动介质和通讯设备随身携带,既不得随意托运也不得将其遗留在汽车或其他形式的运输工具、旅馆房间、会议中心和会议室。员工不应将涉密重要、敏感和/或关键业务信息的设备置于无人值守状态,若确要离开,应记得锁定屏幕,以防止其他人们(甚至是家人或朋友)未授权访问信息或资源。若有可能,应将其用专用锁起来(有条件的话可放入保险柜)。
企业员工出差或在家里时常需要调用企业内部信息和资源来处理工作。在所使用的终端设备上应安装防火墙或防病毒程序,并保持杀毒和防木马程序的病毒库及时被更新。而且,在该终端设备上不得安装未授权或盗版软件,有条件的话最好使用企业专有的远处访问软件进行操作。与此同时,员工应注意并尽量保证所使用的有线或无线网络的安全性,以免涉密信息被侦听和泄漏。
特别要注意到是:员工尽量不要在公共场所打/接重要电话。
2.3.IT人员
除了一般用户外,和IT软/硬件系统频繁打交道的是企业里的IT人员。因此在企业日常运营中,IT群体的安全操作与职责不容忽视。
2.3.1.呼叫中心
呼叫中心的IT服务人员,在处理一般用户发来的求助和需求时应当注意:
1.当接收到与企业安全相关的事故报告、服务和变更请求时,应及时进行记录和分类,必要时更新到配置管理系统,以便后期查询。
2.如果无法解决或确实需要某种权限,则应及时提升给IT管理层或人力资源部门。
3.帮助发现潜在的安全事件,如用户多次来电话所提到的某种IT服务的安全需求,可引起警觉并建议相关部门后期跟踪与处理。
2.3.2.运维支持
运维支持人员常驻企业内,直接与用户和信息直接打交道,日常应注意:
1.通过例行检查与操作,维护并保证信息系统的安全性和稳定性。
2.通过诊断和处理用户的IT需求/问题,判断、处理修复安全相关事故。
3.向普通用户定期发送安全相关的提醒和警告邮件,这样不但能增强普通员工安全意识,还能提高其碰到安全事件的自愈和处理能力。
4.对用户归还的IT设备和即将送修的破损设备做好数据清除以及消磁等清理工作。
5.根据企业的安全策略监控网络和系统资源的滥用与误用情况,如有需要可以对员工运用即时通讯工具的聊天记录等进行敏感信息的侦察。
2.3.3.管理决策
IT部门领导与其他业务部门的代表一起组成信息安全委员会,承担并履行如下职责:
1.信息安全相关项目和服务变更的发起、规划和管理。
2.定期对整个系统进行风险识别、分析、评估和管理。
3.制定针对企业整体信息安全管理体系框架描述的信息安全的方针和手册,完善并更新各种安全管理和操作的具体流程。
4.对供应商和外包商进行安全管理并对其合同进行风险约束。
5.以“相互制约与监督”的原则将信息安全操作进行细分,融入A/B甚至是C角色,调配资源并定期审查系统的达标情况。
2.4.外包人员
根据企业与第三方签署的服务合同,外包人员会定期以直接(如上门)或者是间接(如远程)的方式提供专业技术服务。外包人员在对企业提供服务的同时应当做到如此几点以保证对象企业的信息安全:
1.上门服务前,先联系并告知企业接口人到访的具体时间和工作内容概述。
2.出入企业办公区域时应接受必要的安全检查。
3.技术操作的全程接受接口人的陪同和值守。
4.操作之前出示施工单;完成后填写并提交接口人签署完工单。
5.有义务和责任不泄漏并保护该企业的信息和知识产权。
6.建立例会制度,及时沟通和解决在服务过程中双方发现或碰到的问题。
3.总结
通过上述分析,我们可从人员雇用全程和员工角色两个维度构建出一个立体的信息防护网来规范人员在企业日常运营中的各种行为。当然上面所述的有关人员管理和所涉及到信息安全的各个方面仅仅是本人多年来实际工作和操作的经验积累,而非应对所有挑战的万能灵药,因此很多方面有待进一步的完善。由于管理的对象是人员,同时管理的主体还是人员;人员既是管理的基础,也是管理的核心。因此只有通过动态发展的策略,运用科学的方法,在人员管理上“做足文章”,反复践行,才能构建出一个符合企业自身特点和发展需要的安全而稳定的信息系统体系,信息管理才能做到有证可据、有约而循、有责可追、防范于未然。
参考文献
[1] 华为新员工入职时信息安全保密手册,华为技术有限公司, 2010年9月
[2] 17799:2005 Information technology ― Security techniques ― Code of practice for information security management ,ISO/IEC,2005年6月
Source : http://2574478.blog.51cto.com/2564478/1339707