企業信息安全與人員管理標準

摘要

當前很多企業都在不同程度的建立了和正在使用着信息服務系統，在享受信息技術所帶來的快捷便利的同時，企業管理者也時常擔心機密信息是否安全，如何應對各種安全突發事情等問題。本文從信息主體—“人”的角度出發，綜合分析並給出了在企業日常運營中人員處理信息的各種行爲規範和參考標準。

關鍵詞

企業，信息安全，人員，管理，規範，標準

1.引言

近年來，隨着國內外經濟繁榮發展和知識經濟模式的到來，企業爲了滿足本身的業務發展需要，實現與合作伙伴以及客戶的緊密聯動並保持其自身競爭力，迅速上馬了各種信息技術產品。雲計算，自帶設備（BYOD），大數據等熱門詞彙頻繁在各個企業的信息化建設中出現並得以快速運用。但是這些也導致了各種信息安全泄露事件頻發。從2012年東軟集團商業祕密外泄到各大商業銀行甚至是快遞公司客戶資料被員工販賣，我們可以看出很多企業管理者都容易忽視了雖然企業的命脈是自身所擁有的信息，但是信息存儲、使用和流轉等方面的安全卻是被企業人員所執行操作的。因此信息資源的掌控和人員的管理纔是整個企業日常運營中的基礎與核心。

2.各類人員管理

爲了方便管理，我們需對企業人員進行分類。分類的方法有很多。常用的有如下幾種：

1.按照地理位置，可分爲工作在企業內，如辦公區或廠房的；工作企業外，如出差或在家裏辦公的人員。

2.按照僱用屬性，可分爲有勞動聘用關係的內部員工和外包過來的服務人員。

3.按照專業性質，可分爲一般用戶和IT人員。

而從管理的週期來看，我們可以將企業人員分成僱用前，僱用中，僱用終止以及崗位調動四個階段（如下圖所示）。下面我們詳細討論一下上述各類人員的不同階段的信息安全管理。

2.1.企業內用戶

2.1.1.僱用前

一個崗位在僱用員工或聘請外包商前，應該做好該崗位的文字描述，特別要包含在信息處理過程中所對應的安全角色和職責的陳述，例如：

1.所有訪問敏感信息的人員應在能訪問信息處理設施前簽署保密或不泄密協議。

2.具體陳述該崗位人員對哪些信息系統、服務以及資產的訪問內容和程度。

3.如果合適，甚至可以將某些安全條款或職責條件延伸至僱用期結束後一段規定的時間，以免該崗位人員跳到競爭對手公司工作後造成泄密。

在招聘過程中，人力資源部門應根據相關的法律、法規對所有的求職者（或外包商）進行申請人履歷（或外包商背景）真實性和準確性的驗證和檢查。

2.1.2.僱用中

員工入職後來到企業的辦公場所開展日常工作。在僱用的整個過程中，有如下方面是需要每個員工特別引起重視和注意的：

1.員工只能查閱與自己工作相關的文檔，不得擅自查閱、收集、保存、複製或轉發與其工作無關的信息。

2.不得擅自將自己的工作電腦或電話轉借給他人，也不可擅自使用他人電腦或電話。

3.不得私自使用電腦進行刻錄或用多功能機進行掃描與複印。

4.不得私自增減或改變電腦的硬件配置。

5.在打印和裝訂保密材料時要在封面和每頁加置密級標籤。

6.短暫離開座位時應將涉密材料面朝下放置於桌面上。會議結束後及時帶走涉密材料並清理會議場所。

7.過期或作廢的文件不隨意丟棄，應及時銷燬。

8.儘量不要用免提的方式打接業務電話或開電話會議。

9.不得向供應商或合作商透露自己業務範圍之外的本企業相關信息。

爲了規範日常行爲，加強安全意識，企業應組織所有員工，適當時可包括外包商，定期進行工作職能、組織方針及流程等方面的培訓。培訓的內容可因員工的角色而異。

員工要有一定的職業敏感性，有義務制止其他同事包括外包人員的違規行爲和舉報可能造成泄密、竊密或其他安全隱患的行爲。與此同時，員工也可按照崗位角色特徵對信息安全事故或威脅進行響應，向誰諮詢進一步的安全建議和合適的報告渠道。企業應提供相應的舉報途徑（如電話號碼，郵箱地址等），同時保護舉報人安全。通過相應的激勵的方式來實現組織的安全方針。

當然，有獎就要有罰。如果缺乏有效的管理與關懷會致使員工感覺被低估，並由此產生對組織的負面安全影響。例如，員工安全操作的疏忽或對組織資產誤用甚至是濫用等。而懲戒過程應確保正確和公平，對於嚴重的明知故犯的情況，應立即免職、刪除訪問權限和特權，從而起到一定的威懾作用。

2.1.3.僱用終止

員工的僱用終止過程中應確保其歸還所有先前發放的組織資產，包括移動計算設備、信用卡、訪問卡、軟件、文件、手冊和存儲於電子介質中的信息等。特別需要注意到是：對於IT相關的軟/硬件系統，應刪除或改變的訪問權力包括物理和邏輯訪問、密鑰、ID 卡、信息處理設備、簽名等。如果由於某種特殊原因而需要維持一個已離開的僱員、合同方或第三方帳戶在企業現有系統中處於活動狀態，則應在經過審批流程後，改變其密碼和屬性標識。

當某些員工確認已購買了原隸屬於該企業的設備或一直使用着其自己的設備時，應遵循相關程序確保其內部所有相關信息已轉移給企業，並且已從設備中安全刪除後方允許員工帶走。

對於大型企業來說，有時候分支機構人員的離職，特別是外勤人員，一定要上報總部人力資源部門知曉。與此同時，企業還應給相關的其他人員（包括其他同事）發通知，並應建議他們不應再與該已離開的員工共享或交換信息。

2.1.4.崗位調動

從管理學的角度來說，工作輪換或稱輪崗對企業自身運營是有百利而無一弊的。當一名員工需被調動到企業的其他部門或崗位時，其在原崗位上對信息系統和服務以及資產的各種安全訪問權限應重新被評估或修改。對不適用於或無關新的工作崗位的權限，應及時、徹底的刪除。特別是那些需要銷燬的文檔一定要用碎紙機而非直接仍進垃圾箱或手撕。當然，員工如果要在新崗位上繼續保留或使用原崗位的涉密信息，則一定要經過信息所有人都批准。

2.2.企業外用戶

員工在企業以外的場所，如果並非工作所需，不得將涉密資料隨意帶出；如確屬工作所需，應在帶出前向所在部門經理提出申請，並在離開企業時出示有效的批准憑證。在旅途中，員工應將含有涉密文件、移動介質和通訊設備隨身攜帶，既不得隨意託運也不得將其遺留在汽車或其他形式的運輸工具、旅館房間、會議中心和會議室。員工不應將涉密重要、敏感和/或關鍵業務信息的設備置於無人值守狀態，若確要離開，應記得鎖定屏幕，以防止其他人們（甚至是家人或朋友）未授權訪問信息或資源。若有可能，應將其用專用鎖起來（有條件的話可放入保險櫃）。

企業員工出差或在家裏時常需要調用企業內部信息和資源來處理工作。在所使用的終端設備上應安裝防火牆或防病毒程序，並保持殺毒和防***程序的病毒庫及時被更新。而且，在該終端設備上不得安裝未授權或盜版軟件，有條件的話最好使用企業專有的遠處訪問軟件進行操作。與此同時，員工應注意並儘量保證所使用的有線或無線網絡的安全性，以免涉密信息被偵聽和泄漏。

特別要注意到是：員工儘量不要在公共場所打/接重要電話。

2.3.IT人員

除了一般用戶外，和IT軟/硬件系統頻繁打交道的是企業裏的IT人員。因此在企業日常運營中，IT羣體的安全操作與職責不容忽視。

2.3.1.呼叫中心

呼叫中心的IT服務人員，在處理一般用戶發來的求助和需求時應當注意：

1.當接收到與企業安全相關的事故報告、服務和變更請求時，應及時進行記錄和分類，必要時更新到配置管理系統，以便後期查詢。

2.如果無法解決或確實需要某種權限，則應及時提升給IT管理層或人力資源部門。

3.幫助發現潛在的安全事件，如用戶多次來電話所提到的某種IT服務的安全需求，可引起警覺並建議相關部門後期跟蹤與處理。

2.3.2.運維支持

運維支持人員常駐企業內，直接與用戶和信息直接打交道，日常應注意：

1.通過例行檢查與操作，維護並保證信息系統的安全性和穩定性。

2.通過診斷和處理用戶的IT需求/問題，判斷、處理修復安全相關事故。

3.向普通用戶定期發送安全相關的提醒和警告郵件，這樣不但能增強普通員工安全意識，還能提高其碰到安全事件的自愈和處理能力。

4.對用戶歸還的IT設備和即將送修的破損設備做好數據清除以及消磁等清理工作。

5.根據企業的安全策略監控網絡和系統資源的濫用與誤用情況，如有需要可以對員工運用即時通訊工具的聊天記錄等進行敏感信息的偵察。

2.3.3.管理決策

IT部門領導與其他業務部門的代表一起組成信息安全委員會，承擔並履行如下職責：

1.信息安全相關項目和服務變更的發起、規劃和管理。

2.定期對整個系統進行風險識別、分析、評估和管理。

3.制定針對企業整體信息安全管理體系框架描述的信息安全的方針和手冊，完善並更新各種安全管理和操作的具體流程。

4.對供應商和外包商進行安全管理並對其合同進行風險約束。

5.以“相互制約與監督”的原則將信息安全操作進行細分，融入A/B甚至是C角色，調配資源並定期審查系統的達標情況。

2.4.外包人員

根據企業與第三方簽署的服務合同，外包人員會定期以直接（如上門）或者是間接（如遠程）的方式提供專業技術服務。外包人員在對企業提供服務的同時應當做到如此幾點以保證對象企業的信息安全：

1.上門服務前，先聯繫並告知企業接口人到訪的具體時間和工作內容概述。

2.出入企業辦公區域時應接受必要的安全檢查。

3.技術操作的全程接受接口人的陪同和值守。

4.操作之前出示施工單；完成後填寫並提交接口人簽署完工單。

5.有義務和責任不泄漏並保護該企業的信息和知識產權。

6.建立例會制度，及時溝通和解決在服務過程中雙方發現或碰到的問題。

3.總結

通過上述分析，我們可從人員僱用全程和員工角色兩個維度構建出一個立體的信息防護網來規範人員在企業日常運營中的各種行爲。當然上面所述的有關人員管理和所涉及到信息安全的各個方面僅僅是本人多年來實際工作和操作的經驗積累，而非應對所有挑戰的萬能靈藥，因此很多方面有待進一步的完善。由於管理的對象是人員，同時管理的主體還是人員；人員既是管理的基礎，也是管理的核心。因此只有通過動態發展的策略，運用科學的方法，在人員管理上“做足文章”，反覆踐行，才能構建出一個符合企業自身特點和發展需要的安全而穩定的信息系統體系，信息管理才能做到有證可據、有約而循、有責可追、防範於未然。

參考文獻

[1] 華爲新員工入職時信息安全保密手冊，華爲技術有限公司， 2010年9月

[2] 17799:2005 Information technology — Security techniques — Code of practice for information security management ，ISO/IEC，2005年6月

 

Source : http://2574478.blog.51cto.com/2564478/1339707