一個(gè)企業(yè)的人才總是在不斷流動(dòng)的，公司新人的入職、老員工的跳槽幾乎時(shí)時(shí)在我們身邊發(fā)生。如今企業(yè)已經(jīng)全面了進(jìn)入了互聯(lián)網(wǎng)辦公時(shí)代，互聯(lián)網(wǎng)的高效率和廣泛應(yīng)用使得企業(yè)的辦公效率也隨之提高。如今進(jìn)入一家公司之后，很常見的便是分配給新員工一個(gè)獨(dú)有的電子郵件，通過(guò)電子郵件進(jìn)行員工之間的聯(lián)絡(luò)可謂是方便之極。但是正如上述所講，人員流動(dòng)是一個(gè)企業(yè)的必須環(huán)節(jié)，那么如何在人員流動(dòng)的情況下來(lái)保證郵件安全呢？

在上周，筆者參加了一個(gè)本地的CIO沙龍研討會(huì)，現(xiàn)場(chǎng)調(diào)查顯示幾乎有一半的人員承認(rèn)在離職時(shí)會(huì)帶走原公司的資料，包括工作文件、技術(shù)資料等相關(guān)電子文檔。調(diào)查還發(fā)現(xiàn)有65%的人員可以輕松地下載一些“有競(jìng)爭(zhēng)力”的資料和信息，然后帶到下一份工作中為自己求職加薪，更可怕的是這些資料中有大部份并不是他所負(fù)責(zé)的資料。因此，CIO應(yīng)該要采取有效的措施來(lái)保障人員流動(dòng)時(shí)IT信息的安全。以下是保障IT信息安全的幾個(gè)有效措施：

1．IT信息安全策略須重視人員權(quán)限

俗話說(shuō)，道高一尺，魔高一丈。大多數(shù)人誤解了以為阻止即時(shí)通訊、電子郵件以及外部存儲(chǔ)設(shè)備的使用，就不必?fù)?dān)心資料外泄。事實(shí)上這只是技術(shù)上的限制，CIO在制定IT信息安全策略時(shí)應(yīng)要把人員權(quán)限作為一個(gè)重要的關(guān)注點(diǎn)。因此，CIO應(yīng)要把信息安全的人員權(quán)限看作是一種公司運(yùn)營(yíng)層面的挑戰(zhàn)，而不僅僅是技術(shù)層面上的挑戰(zhàn)。也就是說(shuō)，針對(duì)人員流動(dòng)時(shí)的IT信息安全問(wèn)題，不僅僅是硬件和軟件的限制問(wèn)題，最終更是人的問(wèn)題。

2．建立人員流動(dòng)的規(guī)范化信息安全制度

雖然人員流動(dòng)使得IT信息安全事件時(shí)有發(fā)生，給企業(yè)帶來(lái)了損失。但最為可惜的是，大多數(shù)企業(yè)的CIO和IT管理人員往往只是在安全事件發(fā)生后捶胸頓足、哀聲長(zhǎng)嘆。在我多年的IT從業(yè)經(jīng)驗(yàn)中，真把人員流動(dòng)時(shí)的IT信息安全當(dāng)作一件大事來(lái)抓的CIO還真是不多?；蚣幢闶强紤]了IT信息安全，也僅僅是從技術(shù)角度層面來(lái)考慮，真正從管理制度角度來(lái)考慮信息安全的較少。更令人擔(dān)憂的是不少CIO對(duì)于人員流動(dòng)時(shí)的信息安全問(wèn)題根本是熟視無(wú)睹,只是交給人力資源部門來(lái)簡(jiǎn)單處理。因此，IT部門必須明確哪些信息是離職人員可以帶走的，哪些必須要交接和保密的，要建立規(guī)范化的人員流動(dòng)信息安全制度，要上升到制度化的管理上來(lái)。

3．監(jiān)控高風(fēng)險(xiǎn)用戶和高價(jià)值信息的合規(guī)使用

有時(shí)公司需要積極地監(jiān)視某些角色，特別是這些角色對(duì)企業(yè)會(huì)造成極高的IT信息安全風(fēng)險(xiǎn)，企業(yè)要時(shí)時(shí)監(jiān)視以便發(fā)現(xiàn)其潛在的“不可接受”的行為。例如，一位開發(fā)經(jīng)理為謀求一個(gè)職位可能會(huì)將他能夠訪問(wèn)的敏感信息帶到另外一家競(jìng)爭(zhēng)公司那里去，這種情況下他的訪問(wèn)或許是被授權(quán)的，不過(guò)卻應(yīng)該監(jiān)視他是否存在著濫用或非法使用的行為，以避免這些高風(fēng)險(xiǎn)人員在流動(dòng)前有意識(shí)的下載一些不屬于他負(fù)責(zé)的重要機(jī)密信息。因此，監(jiān)控高風(fēng)險(xiǎn)用戶和高價(jià)值機(jī)密信息的合規(guī)使用，采取防患于未然的預(yù)防式手段是防止其流動(dòng)時(shí)造成IT信息安全事件的有效方法之一。

4．加強(qiáng)對(duì)移動(dòng)設(shè)備和電子郵件的管理

常見的移動(dòng)設(shè)備如筆記本電腦、掌上電腦、智能手機(jī)、USB設(shè)備等，它們給信息存儲(chǔ)與轉(zhuǎn)移提供了非常大的便利，但是它們對(duì)于企業(yè)的信息安全也帶來(lái)了非常大的隱患。因此。CIO需要清楚認(rèn)識(shí)到移動(dòng)設(shè)備不只是方便使用的工具之一，也是關(guān)乎IT信息安全的問(wèn)題。另外，互聯(lián)網(wǎng)時(shí)代電子郵件在企業(yè)內(nèi)外部的溝通中，一直扮演著十分重要的角色，但是郵件造成的IT信息安全風(fēng)險(xiǎn)事件也正在增多。因此，CIO對(duì)移動(dòng)設(shè)備和電子郵件應(yīng)該要進(jìn)行一定程度的監(jiān)管。事實(shí)上，要避免郵件安全事件的方式可以是很簡(jiǎn)單的，只要把郵件在服務(wù)器進(jìn)行備份，并制定技術(shù)掃描和IT安全分析是否存在濫用，就可以有效的避免員工通過(guò)郵件竊取機(jī)密資料。

5．以防為主，加強(qiáng)員工IT信息安全教育

人們普遍認(rèn)為IT信息安全只是IT部門的事情，其實(shí)這并不符合實(shí)際情況。事實(shí)上所有的員工都會(huì)是IT信息安全的威脅。大多數(shù)的員工都會(huì)在流動(dòng)時(shí)或多或少的將企業(yè)的重要資料外帶，主因是大多數(shù)員工對(duì)其行為的危險(xiǎn)性不以為然，或是根本就不了解公司的IT信息安全策略，或是不清楚哪些資料在人員流動(dòng)時(shí)不能外泄和外帶。因此，在人員越來(lái)越流動(dòng)的今天，有效的做法是要給員工進(jìn)行相關(guān)培訓(xùn)，告知員工哪些資料是機(jī)密資料應(yīng)該要慎重處理。IT信息安全責(zé)任存在于公司的各個(gè)員工之中，應(yīng)該要做到防微杜漸，以小見大。

IT信息安全問(wèn)題人人有責(zé)，因?yàn)槿魏我粋€(gè)人都有可能會(huì)離職流失或內(nèi)部流動(dòng)。在人員流動(dòng)時(shí)，一場(chǎng)保衛(wèi)企業(yè)信息安全的新戰(zhàn)役已經(jīng)近在眼前，企業(yè)保證郵件安全，這是一個(gè)不容忽視的問(wèn)題，也是關(guān)系到企業(yè)利益是否受損的重大事情。

【編輯推薦】

1. 病毒郵件預(yù)防十法
2. 反垃圾郵件 國(guó)家建立預(yù)警平臺(tái)
3. 新版Hotmail 垃圾郵件處理更智能
4. Rustock僵尸網(wǎng)絡(luò)涌現(xiàn)加密垃圾郵件
5. 2010年7月份垃圾郵件及釣魚攻擊現(xiàn)狀報(bào)告