【51CTO.com 原創(chuàng)】有細(xì)心的吃瓜群眾點(diǎn)贊我說每隔一周都能寫出一篇妙趣橫生的技術(shù)文章，且不談技術(shù)水準(zhǔn)的高低，就憑這“堅(jiān)持刷存在感”的精神也是讓人醉了。其實(shí)呢，在每次準(zhǔn)備漫談的時(shí)候，我都先定了個(gè)能達(dá)到的小目標(biāo)，比方說：寫漫談呢，最重要是要開心。不過，大家放心，我會(huì)盡量做到“山不在高有仙則靈，量不在多有質(zhì)才行”的。

好，現(xiàn)在正式進(jìn)入本漫談的第二部分：治理層面。先來談?wù)勅藛T治理。很多企業(yè)管理者都容易忽視一個(gè)情況：雖然企業(yè)的命脈是自身所擁有的信息，但是信息存儲(chǔ)、使用和流轉(zhuǎn)等方面的安全卻是被企業(yè)人員所執(zhí)行操作的。因此信息資源的掌控和人員的治理才是整個(gè)企業(yè)日常運(yùn)營中的基礎(chǔ)與核心。這也是各種信息安全相關(guān)的認(rèn)證和參考標(biāo)準(zhǔn)里時(shí)常涉及到的重要環(huán)節(jié)。哥下面主要是從自身企業(yè)的治理實(shí)務(wù)出發(fā)和大家分享。

[[172555]]

先和大家分享一個(gè)最近發(fā)生在我們企業(yè)的案例。Wuli 一名員工的無線MIFI在出差途中丟失了。這已經(jīng)不是***個(gè)人丟失IT設(shè)備了。我總結(jié)了一下，不同角色的員工面對這樣的情況***反應(yīng)不盡相同。職場菜鳥：不知所措，甚至還會(huì)在微博or微信上發(fā)什么“崩潰ing，求指點(diǎn)，在線等，急”;市場部員工：會(huì)立即要求IT想辦法遠(yuǎn)程銷毀丟失設(shè)備上的重要文案資料;財(cái)務(wù)部員工：馬上要去IT暫停丟失設(shè)備上的一切服務(wù)，以免被人盜用，以實(shí)現(xiàn)值損;法務(wù)部員工：直接報(bào)警，留下***時(shí)間的報(bào)案證據(jù)?？偟恼f來，除了職場新人的做法可以直接狗帶以外，其他類型員工的應(yīng)急處理方式雖然是從自己的利益或執(zhí)業(yè)角度出發(fā)，但基本上都是對的?？梢娦畔⑾到y(tǒng)的運(yùn)維，除了有前瞻的設(shè)計(jì)，縝密的運(yùn)維以外，還要具備有效的人員治理和用戶素質(zhì)的跟進(jìn)。我們平時(shí)要加強(qiáng)和反復(fù)強(qiáng)調(diào)用戶安全意識(shí)和應(yīng)對方法。

為了方便治理，我們需對企業(yè)人員進(jìn)行分類。分類的方法有很多。常用的有如下幾種：

1. 按照地理位置，可分為工作在企業(yè)內(nèi)，如辦公區(qū)或廠區(qū)的;工作企業(yè)外，如出差或在家里辦公的人員。

2. 按照雇用屬性，可分為有勞動(dòng)聘用關(guān)系的內(nèi)部員工和外***來的服務(wù)人員。

3. 按照專業(yè)性質(zhì)，可分為用服務(wù)的一般用戶和懂技術(shù)的IT人員。

而從管理的周期來看，我們可以將企業(yè)人員分成雇用前，雇用中，雇用終止以及崗位調(diào)動(dòng)四個(gè)階段(如下圖所示)。下面我們詳細(xì)討論一下上述各類人員的不同階段的信息安全管理。

企業(yè)內(nèi)用戶

雇用前

一個(gè)崗位在雇用員工或聘請外包商前，應(yīng)該做好對該崗位的文字描述，特別要包含在信息處理過程中所對應(yīng)的安全角色和職責(zé)的陳述，例如：

1. 具體陳述該崗位人員對哪些信息系統(tǒng)、服務(wù)以及資產(chǎn)的訪問內(nèi)容和程度，必要的時(shí)候要做好相應(yīng)的操作技能的培訓(xùn)。根據(jù)我的經(jīng)驗(yàn)，除了基于崗位角色的職能定義外，***將角色細(xì)化，比如說對數(shù)據(jù)庫，用戶賬號，文件系統(tǒng)和網(wǎng)絡(luò)設(shè)備等設(shè)置不同的管理員角色，這對UAC都是很好的實(shí)踐。

2. 所有訪問敏感信息的人員應(yīng)在能訪問信息處理設(shè)施前簽署保密或不泄密協(xié)議(NDA)。

3. 如果合適，***簽訂競業(yè)禁止協(xié)議(NCA)或者能將NDA的某些安全條款或職責(zé)條件延伸至雇用期結(jié)束后一段規(guī)定的時(shí)間，以免該崗位人員跳到競爭對手公司工作后造成泄密。

4. 在招聘過程中，人力資源部門應(yīng)根據(jù)相關(guān)的法律、法規(guī)對所有的求職者(或外包商)進(jìn)行申請人履歷(或外包商背景)真實(shí)性和準(zhǔn)確性的驗(yàn)證和檢查。那么我們技術(shù)部門則可以靈活的運(yùn)用各種社交網(wǎng)絡(luò)里的搜索功能進(jìn)行復(fù)審。“無拘無束”時(shí)最能體現(xiàn)一個(gè)人的素質(zhì)。比較招來的人是要能和大家一起愉快的“玩耍”的。

雇用前如果能重視上述四點(diǎn)，基本上在盡職免責(zé)方面就已經(jīng)算是比較到位的了。

雇用中

員工入職來到企業(yè)的辦公場所開展日常工作。在雇用的整個(gè)過程中，有如下方面是需要每個(gè)員工特別引起重視和注意的：

1. 員工只能查閱與自己工作相關(guān)的文檔，不得擅自查閱、收集、保存、復(fù)制或轉(zhuǎn)發(fā)與其工作無關(guān)的信息。

這一點(diǎn)應(yīng)當(dāng)在入職的時(shí)候講清楚，并告知我們有個(gè)系統(tǒng)如big brother一樣會(huì)記錄甚至監(jiān)控你的各種嘗試不該看的文檔，以起到威懾的作用。而在實(shí)際運(yùn)維中，我們可以對現(xiàn)有文檔庫添置諸如“誰，什么時(shí)間，運(yùn)用什么設(shè)備，對哪個(gè)文檔，進(jìn)行了什么樣的操作”的日志功能。

2. 不得擅自將自己的工作電腦或電話轉(zhuǎn)借給他人，也不可擅自使用他人電腦或電話。

不是所有時(shí)候都講團(tuán)隊(duì)精神的。人家電腦，電話壞了自有IT響應(yīng)，我們的系統(tǒng)如上述所說只對員工ID和設(shè)備號等進(jìn)行記錄，所以你讓人家用了，你就幫他擔(dān)責(zé)任和風(fēng)險(xiǎn)了，何必呢?

3. 不得私自使用電腦進(jìn)行刻錄或用多功能機(jī)進(jìn)行掃描與復(fù)印。

總有些人愛占小便宜，且不說利用公司資源復(fù)制小電影，就算把一些工作相關(guān)的資料進(jìn)行轉(zhuǎn)印都會(huì)給企業(yè)帶來信息流失的風(fēng)險(xiǎn)。比如說好奇的其他部門的員工一瞥眼或者是翻看作業(yè)記錄便可對你的操作一目了然。

4. 不得私自增減或改變電腦的軟、硬件配置。

有些童鞋喜好DIY，公司設(shè)備配置低，他不給IT部門“增加麻煩”，自己開機(jī)箱添加內(nèi)存、硬盤等。殊不知這樣會(huì)導(dǎo)致潛在的兼容性問題和硬件缺陷，而且當(dāng)硬件出現(xiàn)故障的時(shí)候既不容易IT人員的問題排查，又不利于標(biāo)準(zhǔn)化快速替換。而對于系統(tǒng)來說，一旦硬件配置改變了，自動(dòng)分發(fā)的組策略等都會(huì)受到影響。而對于擅自安裝非企業(yè)擁有版權(quán)的軟件的危險(xiǎn)，我這里就不贅述了，大家都明白的。

5. 在打印和裝訂保密材料時(shí)要在封面和每頁加置密級標(biāo)簽。短暫離開座位時(shí)應(yīng)將涉密材料面朝下放置于桌面上。會(huì)議結(jié)束后及時(shí)帶走涉密材料并清理會(huì)議場所。

這一點(diǎn)在辦公規(guī)范要求高的企業(yè)特別是外企，是很有講究的。雖然這是防君子不防小人overlook的方法，但不失為一個(gè)很好的辦公文件處置習(xí)慣。Just be professional.

6. 過期或作廢的文件不隨意丟棄，應(yīng)及時(shí)銷毀。

規(guī)范的公司每個(gè)工位下除了一般垃圾筐外都會(huì)有個(gè)文檔銷毀筐，外形有點(diǎn)類似家里的信箱，“只入不出”。當(dāng)然也有放置在特定區(qū)域的。收集滿后，有特約公司運(yùn)走進(jìn)行集中銷毀。對于廢舊的硬盤呢?當(dāng)然有專門的消磁機(jī)，這種設(shè)備需要的租用，花錢買實(shí)在沒意思。

7. 盡量不要用免提的方式打接業(yè)務(wù)電話或開電話會(huì)議。

由于隔音效果不好，哥經(jīng)常能聽到從一墻之隔的鄰居企業(yè)會(huì)議室傳來的霸道總裁在電話會(huì)議上的咆哮聲。我好當(dāng)心他們要是在弄出什么門的話，我豈不是聽得真真切切?

8. 不得向供應(yīng)商或合作商透露自己業(yè)務(wù)范圍之外的本企業(yè)相關(guān)信息。

這里跟大家分享一個(gè)案例：哥曾拜訪過一個(gè)會(huì)計(jì)師事務(wù)所的從業(yè)者，在閑談中從業(yè)者無意說出“最近都在忙XX公司的上市項(xiàng)目了。”(這里跟大家科普一下，一般為了對某些上市項(xiàng)目保密，都會(huì)給項(xiàng)目起個(gè)代號，就像軍事行動(dòng)一樣。)此言一出，敏感的我一下子嗅到了商機(jī)，馬上點(diǎn)開手機(jī)上的模擬炒股軟件，提前持股該公司，坐等上市后大賺一筆了。

員工要有一定的職業(yè)敏感性，有義務(wù)制止其他同事包括外包人員的違規(guī)行為和舉報(bào)可能造成泄密、竊密或其他安全隱患的行為。與此同時(shí)，員工也可按照崗位角色特征對信息安全事故或威脅進(jìn)行響應(yīng)，知道向誰咨詢進(jìn)一步的安全建議，并了解合適的報(bào)告渠道。企業(yè)應(yīng)提供相應(yīng)的舉報(bào)途徑(如電話號碼，郵箱地址等)，同時(shí)保護(hù)舉報(bào)人安全。通過相應(yīng)的激勵(lì)的方式來實(shí)現(xiàn)組織的安全方針。

當(dāng)然，有獎(jiǎng)就要有罰。對于員工安全操作的疏忽或?qū)M織資產(chǎn)誤用甚至是濫用等scenario，所采取的分級懲戒過程應(yīng)確保正確和公平，而對于嚴(yán)重的明知故犯的情況，應(yīng)立即免職、刪除訪問權(quán)限和特權(quán)，從而起到一定的威懾作用。

再跟大家說一個(gè)案例，我朋友單位，做軟件研發(fā)的，一個(gè)網(wǎng)管偶然一次用流量分析工具發(fā)現(xiàn)，每天定點(diǎn)有從內(nèi)網(wǎng)的某個(gè)路徑向百度網(wǎng)盤上載文件的流量的產(chǎn)生，且文件類型并非圖片或流文件。后來經(jīng)過進(jìn)一步分析發(fā)現(xiàn)，是有人設(shè)置了計(jì)劃任務(wù)，把項(xiàng)目組的一個(gè)防止源碼丟失的集中共享盤里的內(nèi)容定期上載更新到自己的網(wǎng)盤中。于是他馬上向管理層報(bào)告了此事。后面的狗血?jiǎng)∏榇蠹矣媚_趾頭都能想到了，該獎(jiǎng)勵(lì)的獎(jiǎng)，該懲罰的罰唄。

***自我安利一下本漫談吧。您別認(rèn)為這里漫談的很多信息安全相關(guān)技術(shù)和手段“都是套路”。其實(shí)，只要哥在此分享的實(shí)施與管控經(jīng)驗(yàn)中，有那么一、兩個(gè)點(diǎn)正切您工作中的痛點(diǎn)or high點(diǎn)，讓您微微一笑很心領(lǐng)，那么哥就會(huì)覺得無比小確幸了。畢竟很多事情，如果咱們不去做，很可能淪為“華佗無奈小蟲何”了。正所謂“知易行難”，只要您肯真正去踐行，就能把所謂“人家的IT部”甩掉幾條街。真心希望我們的漫談能成為您在信息安全道路上“彎道超車”的利器。

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處?！?/p>