“以人为本”谈三类员工安全管理
著名的前黑客凯文-米蒂尼克(Kevin Mitnick)在接受采访时曾表示,尽管很多公司采取了安全防护措施,但这些安全措施在网络犯罪面前仍然显得不堪一击,原因在于他们忽略了网络安全的一个最为薄弱的环节——“人”。
统计结果表明,在所有的信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成得,70%-80%是由于内部员工的疏忽或有意泄密造成的。因此,企业的网络安全除了技术的控制手段外,更需要加强对“人”的管理。
企业中的“人”,按照安全管理来分可以分为三类:刚进入公司的新员工、在工作岗位上的老员工、即将离职的老员工。下面就分别介绍一下如何从“人”的角度去加强企业的网络安全。
初来乍到的新员工
对于刚进入公司的新员工,无论现在的岗位对他陌生还是熟悉,由于公司的异同,公司的信息安全政策与程序都会有所不同。如果新进的员工仍然用一成不变的思维方式与处事程序去维护企业网络安全肯定会有或多或少的纰漏,要知道,“千里之堤,溃于蚁穴”,也许就因为这点纰漏使公司蒙受巨大的损失。
在公司员工新老交替时必须注意一下几点:
首先,新员工的筛选,要考虑是否符合职位的信息安全需要,要仔细验证新员工提供的证明材料及文凭是否真实。
其次,与新员工签署的劳动合同中要明确信息安全责任,使新员工从一开始就了解组织对信息安全的要求,这样容易在员工心目中形成较深的印象。
再次,对新员工进行岗前教育与培训,使员工在较短的时间内熟悉组织的信息安全政策与程序。
最后,也是最重要的,就是新员工与老员工的工作交接,工作的交接过程要由部门经理或主管监督下执行,交接内容要形成书面报告双方签字认可,内容含盖员工工作说明书中的所有工作以及涉及公司网络安全的账号与密码等。
轻车熟路老员工
在工作岗位上的员工虽然对于自己的工作已经轻车熟路,但是安全隐患往往就出现轻车熟路上。
“安全工作是一个长抓不懈工作”,因此,对于在职的老员工也要有相应的措施:
首先,对要接触到敏感与机密信息的员工,要与之签署保密协议,要让员工知道敏感与机密信息对组织的重要性,以及违反保密协议要承担的责任。
其次,公司要根据员工的工作制定各岗位员工工作说明书,说明书中要详细描述工作流程的每一环节对信息安全的要求及相应的责任,向员工提供使用组织的软硬件设施的要求及相关规定。
再次,公司要定期组织企业信息安全培训,加强公司员工的企业安全意识,增强员工的企业责任心。
最后,要高度关注对组织心怀不满的员工,他们常常是信息安全事件的策划者与发起者。员工的报复性行为会对组织的信息安全造成极大的损害。组织要完善沟通渠道,鼓励员工把对组织的不满通过正常途径及时地表达出来,并做妥善处理,把危险的动机消灭在萌芽中。
各奔前程离职工
离职员工离职的原因有很多,比如:因竞争对手挖“墙脚”而离职;因工作不称职被“炒鱿鱼”;因不适应工作条件主动辞职;因工作调动,调整职位或调整部门而离职的;需要继续深造而辞职等等。
不同的离职原因对于公司的安全隐患程度不同,前两种的离职者相对后面的给公司的安全带来的安全隐患显然要多些,而后面几种原因的离职者同样也不能完全忽略。因此,对于离职者的管理更要全面、更要加强力度。
首先,是工作的交接。员工自提出辞职之日起一周或两周(根据工作性质)为工作交接日,在工作交接日内,离职员工要将自己的工作交接给新员工或其他同事,对新员工进行培训,使工作不影响公司业务的前提下顺利交接。工作的交接要有双方签字的书面材料。
其次,对于离职者原来使用的公司的登录账号、密码、企业邮箱、VPN账户、ERP账号等要及时进行注销或锁定。对于特定岗位的员工,如系统管理员、信息部主管等,离职后除封锁原账号外还要对他原来管理的网络系统进行安全扫描与系统评估,看是否留有“后门”或隐藏账户,原系统管理员密码要更改。
再次,对于接触敏感与机密信息的员工,按原来签定的保密协议进行约束,规定离职后几年内不得从事原单位相应的工作等。
最后,员工离职后要及时通知(书面或者电子)各分公司及公司的客户,声明某某同志自哪天离职,自即日起该同志的任何行为与本公司无关等字样,以免离职员工利用原单位的名义欺诈公司老客户、影响公司形象。
安全文化网 www.anquan.com.cn上一篇:安全意识之吾见
