【.com原创】像我这样细心的吃瓜群众说我隔周都能写出一篇有趣的技术文章,更不用说技术水平了,光是靠着“坚持刷存在感”的精神,也是醉人的。其实每次准备散文,我都是先定下一个可以实现的小目标,比如:写散文,开心最重要。不过,你放心,我会努力做到“山不高自有仙,量不多自有质”。好吧,现在正式进入这个杂乱无章的第二部分:治理层面。先说人治。很多企业管理者往往会忽视一个情况:虽然企业的生命线是自身的信息,但信息存储、使用和流通的安全却是由企业人员来完成的。因此,信息资源的控制和人员的管理是整个企业日常运作的基础和核心。这也是各种信息安全相关认证和参考标准中经常涉及到的一个重要环节。下面主要是从自己公司的治理实践来跟大家分享一下。给大家分享一个最近发生在我们公司的案例。五里某员工的无线MIFI在出差途中丢失。这不像是第一个丢失IT设备的人。我总结了不同角色的员工对这种情况有不同的反应。职场菜鸟:手足无措,甚至发微博微信,“崩溃ing,求教,在线等,急”;营销人员:立即要求IT想办法远程销毁丢失设备上的重要文件;财务部员工:立即到IT部门暂停丢失设备上的所有服务,以免被盗,实现价值损失;法务部员工:直接报警,并留下最晚报案证据。一般来说,除了职场新人可以直接带狗外,其他类型员工的应急处理方法基本都是正确的,虽然是基于自己的兴趣或实践的角度。由此可见,信息系统的运维,除了要有前瞻性的设计和细致的运维,还必须有有效的人员管理和用户质量的跟进。我们通常会强化并反复强调用户的安全意识和应对措施。为了便于治理,我们需要对企业人员进行分类。分类的方法有很多种。常用的有以下几种:1、根据地理位置可以分为在企业工作的,比如办公区或者厂区;在企业外工作的人,例如出差或在家工作的人。2、根据用工性质,可分为具有劳动雇佣关系的内部员工和外部服务人员。3、按职业性质可分为使用服务的一般用户和懂技术的IT人员。从管理周期的角度,我们可以将企业人员划分为四个阶段:入职前、在职、离职、转岗(如下图)。下面就上述各类人员在不同阶段的信息安全管理进行详细探讨。企业用户在聘用员工或外包商之前,应对其职位进行书面说明,特别是信息处理过程中相应的安全角色和职责,例如:1.具体说明必要时,本部门的人员职位应针对访问信息系统、服务和资产的内容和程度接受相应的操作技能培训。根据我的经验,***除了根据工作角色定义功能外,还对角色进行了细化,比如为数据库、用户账户、文件系统、网络设备设置不同的管理员角色,这对UAC实践非常有好处。2.所有访问敏感信息的人员在能够访问信息处理设施之前应签署保密或保密协议(NDA)。3.如果合适,***签署竞业禁止协议(NCA)或将NDA的某些安全条款或职责条件延长至雇用期结束后的指定时间段,以防止跳岗在竞争对手公司工作导致泄密。4、在招聘过程中,人力资源部应依据相关法律法规对所有求职者(或外包商)的简历(或外包商背景)的真实性、准确性进行核实和核对。然后我们的技术部门就可以灵活的使用各种社交网络中的搜索功能进行审核。“潇洒”最能体现一个人的品质。招的越多,应该能和大家一起“玩”的开心。如果能在就业前注意以上四点,那么在尽职免责方面基本就到位了。在职期间,员工来到公司办公室开展日常工作。在整个用工过程中,以下几个方面需要每位员工特别注意和注意:1、员工只能查阅与本职工作有关的文件,不得查阅、收集、保存、复制或转发与本职工作无关的文件。他们未经授权的工作。信息。这点在你入职的时候要明确,告诉我们有一个像大哥这样的系统,会记录甚至监控你各种试图阅读不该看的文件,起到震慑作用。在实际运维中,我们可以在现有文档库中增加“谁,什么时候,使用了什么设备,对哪个文档进行了什么样的操作”等日志功能。2、不得擅自将工作电脑、手机借给他人使用,不得擅自使用他人的电脑、手机。这并不总是关于团队合作。如果某人的电脑或电话坏了,IT部门会做出响应。如前所述,我们的系统只记录员工ID和设备编号,所以如果你让别人使用,你就是在帮助他承担责任和风险。何必呢?3.不得使用电脑进行烧录,不得使用多功能一体机进行扫描复印。总有一些人喜欢占小便宜,别说是利用公司资源抄小电影,就是转移了一些工作相关的资料,也会给公司带来信息丢失的风险。例如,来自其他部门的好奇的员工可以通过扫一眼或翻阅工作记录来一目了然地看到您的操作。4、不得擅自增加、减少或更改计算机的软硬件配置。有些童鞋喜欢DIY,公司设备配置低。他不给IT部门“添麻烦”,自己开机箱加内存、硬盘等。殊不知这会导致潜在的兼容性问题和硬件缺陷,而且当硬件出现故障时,IT人员也不容易排查问题,不利于规范快速更换。对于系统来说,一旦硬件配置发生变化,自动分发的组策略就会受到影响。至于擅自安装非企业版权软件的危害,这里不做赘述,大家心知肚明。5、印刷、装订涉密材料时,封面和每页应加贴保密标签。短时间离开座位时,将机密资料面朝下放在桌上。会后及时带走涉密资料,清理会场。这一点对于办公标准高的公司,尤其是外企来说,是很有讲究的。虽然这是防止君子俯视的一种方式,但仍不失为处理办公文件的好习惯。只是professional.6。过期或作废的证件不得随意丢弃,应及时销毁。在一个标准的公司里,除了一般的垃圾桶外,每个工作站下面都会有一个文件销毁筐,看起来有点像家里的邮箱,“只进不出”。当然,也有放置在特定区域的。藏品满后,由专门公司运走,集中销毁。旧硬盘怎么办?当然还有专门的退磁机。这种设备需要租,花钱买真的没有意义。7、尽量不要用免提方式拨打商务电话或电话会议。由于隔音不好,经常能听到隔壁隔壁公司会议室传来电话会议上霸道总裁的怒吼声。如果他们想弄清楚什么,我会非常小心,难道我真的没有听到吗?8.不向供应商或合作伙伴透露您业务范围以外的公司信息。这里有一个案例与大家分享:我曾拜访过一位会计师事务所的从业人员。聊天中,从业者无意中说:“最近忙于XX公司的上市项目。”一些上市的项目是保密的,会被赋予一个代号,就像军事行动一样。)此话一出,我灵机一动,立刻嗅到了商机。我马上点开手机上的模拟炒股软件,提前持有公司股票,等待上市发财。员工必须具备一定的职业敏感度,有义务制止包括外包人员在内的其他同事的违规举报行为,可能造成泄密、盗窃或其他安全隐患。同时,员工还可以根据工作角色特征对信息安全事件或威胁做出响应,知道向谁咨询以获得进一步的安全建议,并了解适当的报告渠道。企业应提供相应的举报渠道(如电话号码、邮箱地址等),同时保护举报人的安全。通过相应的激励措施实施组织的安全政策。当然,有奖有罚。对于员工在安全操作中的疏忽或滥用甚至滥用组织资产等场景,所采用的分级纪律程序应确保正确性和公平性,对于严重的故意犯罪,应立即解雇,取消访问权限和特权。起到一定的威慑作用。再说一个案例。我的朋友从事软件研发工作。某网管无意中使用流量分析工具发现每天固定点有从内网某路径上传文件到百度网盘的流量。并且文件类型不是图像或流文件。后来经过进一步分析,发现是有人设置了定时任务,定时上传更新项目组一个集中共享盘的内容,防止源码丢失到自己的网盘。于是,他立即向管理层报告了此事。大家用脚趾头都能想到下面的血腥情节,该赏的该赏,该罚的该罚。***自我安利,说说这个漫谈吧。不要以为这里讨论的很多信息安全相关的技术和方法都是“套路”。其实,只要我在这里分享的实现和管控的经验中有那么一两点是切中了你工作中的痛点或者高点,让你会心一笑,明白了,那我就觉得无比幸运。毕竟很多事情,如果我们不去做,很可能会变成“华佗无奈”。俗话说“知难而行”,只要肯实践,就能摆脱所谓的“别人的IT部门”。衷心希望我们的漫游能成为您在信息安全道路上“弯道超车”的利器。【.com原创稿件,转载请注明作者及出处。】
