【51CTO.com 原創(chuàng)】有細心的吃瓜群眾點贊我說每隔一周都能寫出一篇妙趣橫生的技術(shù)文章，且不談技術(shù)水準的高低，就憑這“堅持刷存在感”的精神也是讓人醉了。其實呢，在每次準備漫談的時候，我都先定了個能達到的小目標，比方說：寫漫談呢，最重要是要開心。不過，大家放心，我會盡量做到“山不在高有仙則靈，量不在多有質(zhì)才行”的。

好，現(xiàn)在正式進入本漫談的第二部分：治理層面。先來談談人員治理。很多企業(yè)管理者都容易忽視一個情況：雖然企業(yè)的命脈是自身所擁有的信息，但是信息存儲、使用和流轉(zhuǎn)等方面的安全卻是被企業(yè)人員所執(zhí)行操作的。因此信息資源的掌控和人員的治理才是整個企業(yè)日常運營中的基礎與核心。這也是各種信息安全相關(guān)的認證和參考標準里時常涉及到的重要環(huán)節(jié)。哥下面主要是從自身企業(yè)的治理實務出發(fā)和大家分享。

[[172555]]

先和大家分享一個最近發(fā)生在我們企業(yè)的案例。Wuli 一名員工的無線MIFI在出差途中丟失了。這已經(jīng)不是***個人丟失IT設備了。我總結(jié)了一下，不同角色的員工面對這樣的情況***反應不盡相同。職場菜鳥：不知所措，甚至還會在微博or微信上發(fā)什么“崩潰ing，求指點，在線等，急”;市場部員工：會立即要求IT想辦法遠程銷毀丟失設備上的重要文案資料;財務部員工：馬上要去IT暫停丟失設備上的一切服務，以免被人盜用，以實現(xiàn)值損;法務部員工：直接報警，留下***時間的報案證據(jù)。總的說來，除了職場新人的做法可以直接狗帶以外，其他類型員工的應急處理方式雖然是從自己的利益或執(zhí)業(yè)角度出發(fā)，但基本上都是對的。可見信息系統(tǒng)的運維，除了有前瞻的設計，縝密的運維以外，還要具備有效的人員治理和用戶素質(zhì)的跟進。我們平時要加強和反復強調(diào)用戶安全意識和應對方法。

為了方便治理，我們需對企業(yè)人員進行分類。分類的方法有很多。常用的有如下幾種：

1. 按照地理位置，可分為工作在企業(yè)內(nèi)，如辦公區(qū)或廠區(qū)的;工作企業(yè)外，如出差或在家里辦公的人員。

2. 按照雇用屬性，可分為有勞動聘用關(guān)系的內(nèi)部員工和外***來的服務人員。

3. 按照專業(yè)性質(zhì)，可分為用服務的一般用戶和懂技術(shù)的IT人員。

而從管理的周期來看，我們可以將企業(yè)人員分成雇用前，雇用中，雇用終止以及崗位調(diào)動四個階段(如下圖所示)。下面我們詳細討論一下上述各類人員的不同階段的信息安全管理。

企業(yè)內(nèi)用戶

雇用前

一個崗位在雇用員工或聘請外包商前，應該做好對該崗位的文字描述，特別要包含在信息處理過程中所對應的安全角色和職責的陳述，例如：

1. 具體陳述該崗位人員對哪些信息系統(tǒng)、服務以及資產(chǎn)的訪問內(nèi)容和程度，必要的時候要做好相應的操作技能的培訓。根據(jù)我的經(jīng)驗，除了基于崗位角色的職能定義外，***將角色細化，比如說對數(shù)據(jù)庫，用戶賬號，文件系統(tǒng)和網(wǎng)絡設備等設置不同的管理員角色，這對UAC都是很好的實踐。

2. 所有訪問敏感信息的人員應在能訪問信息處理設施前簽署保密或不泄密協(xié)議(NDA)。

3. 如果合適，***簽訂競業(yè)禁止協(xié)議(NCA)或者能將NDA的某些安全條款或職責條件延伸至雇用期結(jié)束后一段規(guī)定的時間，以免該崗位人員跳到競爭對手公司工作后造成泄密。

4. 在招聘過程中，人力資源部門應根據(jù)相關(guān)的法律、法規(guī)對所有的求職者(或外包商)進行申請人履歷(或外包商背景)真實性和準確性的驗證和檢查。那么我們技術(shù)部門則可以靈活的運用各種社交網(wǎng)絡里的搜索功能進行復審。“無拘無束”時最能體現(xiàn)一個人的素質(zhì)。比較招來的人是要能和大家一起愉快的“玩耍”的。

雇用前如果能重視上述四點，基本上在盡職免責方面就已經(jīng)算是比較到位的了。

雇用中

員工入職來到企業(yè)的辦公場所開展日常工作。在雇用的整個過程中，有如下方面是需要每個員工特別引起重視和注意的：

1. 員工只能查閱與自己工作相關(guān)的文檔，不得擅自查閱、收集、保存、復制或轉(zhuǎn)發(fā)與其工作無關(guān)的信息。

這一點應當在入職的時候講清楚，并告知我們有個系統(tǒng)如big brother一樣會記錄甚至監(jiān)控你的各種嘗試不該看的文檔，以起到威懾的作用。而在實際運維中，我們可以對現(xiàn)有文檔庫添置諸如“誰，什么時間，運用什么設備，對哪個文檔，進行了什么樣的操作”的日志功能。

2. 不得擅自將自己的工作電腦或電話轉(zhuǎn)借給他人，也不可擅自使用他人電腦或電話。

不是所有時候都講團隊精神的。人家電腦，電話壞了自有IT響應，我們的系統(tǒng)如上述所說只對員工ID和設備號等進行記錄，所以你讓人家用了，你就幫他擔責任和風險了，何必呢?

3. 不得私自使用電腦進行刻錄或用多功能機進行掃描與復印。

總有些人愛占小便宜，且不說利用公司資源復制小電影，就算把一些工作相關(guān)的資料進行轉(zhuǎn)印都會給企業(yè)帶來信息流失的風險。比如說好奇的其他部門的員工一瞥眼或者是翻看作業(yè)記錄便可對你的操作一目了然。

4. 不得私自增減或改變電腦的軟、硬件配置。

有些童鞋喜好DIY，公司設備配置低，他不給IT部門“增加麻煩”，自己開機箱添加內(nèi)存、硬盤等。殊不知這樣會導致潛在的兼容性問題和硬件缺陷，而且當硬件出現(xiàn)故障的時候既不容易IT人員的問題排查，又不利于標準化快速替換。而對于系統(tǒng)來說，一旦硬件配置改變了，自動分發(fā)的組策略等都會受到影響。而對于擅自安裝非企業(yè)擁有版權(quán)的軟件的危險，我這里就不贅述了，大家都明白的。

5. 在打印和裝訂保密材料時要在封面和每頁加置密級標簽。短暫離開座位時應將涉密材料面朝下放置于桌面上。會議結(jié)束后及時帶走涉密材料并清理會議場所。

這一點在辦公規(guī)范要求高的企業(yè)特別是外企，是很有講究的。雖然這是防君子不防小人overlook的方法，但不失為一個很好的辦公文件處置習慣。Just be professional.

6. 過期或作廢的文件不隨意丟棄，應及時銷毀。

規(guī)范的公司每個工位下除了一般垃圾筐外都會有個文檔銷毀筐，外形有點類似家里的信箱，“只入不出”。當然也有放置在特定區(qū)域的。收集滿后，有特約公司運走進行集中銷毀。對于廢舊的硬盤呢?當然有專門的消磁機，這種設備需要的租用，花錢買實在沒意思。

7. 盡量不要用免提的方式打接業(yè)務電話或開電話會議。

由于隔音效果不好，哥經(jīng)常能聽到從一墻之隔的鄰居企業(yè)會議室傳來的霸道總裁在電話會議上的咆哮聲。我好當心他們要是在弄出什么門的話，我豈不是聽得真真切切?

8. 不得向供應商或合作商透露自己業(yè)務范圍之外的本企業(yè)相關(guān)信息。

這里跟大家分享一個案例：哥曾拜訪過一個會計師事務所的從業(yè)者，在閑談中從業(yè)者無意說出“最近都在忙XX公司的上市項目了。”(這里跟大家科普一下，一般為了對某些上市項目保密，都會給項目起個代號，就像軍事行動一樣。)此言一出，敏感的我一下子嗅到了商機，馬上點開手機上的模擬炒股軟件，提前持股該公司，坐等上市后大賺一筆了。

員工要有一定的職業(yè)敏感性，有義務制止其他同事包括外包人員的違規(guī)行為和舉報可能造成泄密、竊密或其他安全隱患的行為。與此同時，員工也可按照崗位角色特征對信息安全事故或威脅進行響應，知道向誰咨詢進一步的安全建議，并了解合適的報告渠道。企業(yè)應提供相應的舉報途徑(如電話號碼，郵箱地址等)，同時保護舉報人安全。通過相應的激勵的方式來實現(xiàn)組織的安全方針。

當然，有獎就要有罰。對于員工安全操作的疏忽或?qū)M織資產(chǎn)誤用甚至是濫用等scenario，所采取的分級懲戒過程應確保正確和公平，而對于嚴重的明知故犯的情況，應立即免職、刪除訪問權(quán)限和特權(quán)，從而起到一定的威懾作用。

再跟大家說一個案例，我朋友單位，做軟件研發(fā)的，一個網(wǎng)管偶然一次用流量分析工具發(fā)現(xiàn)，每天定點有從內(nèi)網(wǎng)的某個路徑向百度網(wǎng)盤上載文件的流量的產(chǎn)生，且文件類型并非圖片或流文件。后來經(jīng)過進一步分析發(fā)現(xiàn)，是有人設置了計劃任務，把項目組的一個防止源碼丟失的集中共享盤里的內(nèi)容定期上載更新到自己的網(wǎng)盤中。于是他馬上向管理層報告了此事。后面的狗血劇情大家用腳趾頭都能想到了，該獎勵的獎，該懲罰的罰唄。

***自我安利一下本漫談吧。您別認為這里漫談的很多信息安全相關(guān)技術(shù)和手段“都是套路”。其實，只要哥在此分享的實施與管控經(jīng)驗中，有那么一、兩個點正切您工作中的痛點or high點，讓您微微一笑很心領，那么哥就會覺得無比小確幸了。畢竟很多事情，如果咱們不去做，很可能淪為“華佗無奈小蟲何”了。正所謂“知易行難”，只要您肯真正去踐行，就能把所謂“人家的IT部”甩掉幾條街。真心希望我們的漫談能成為您在信息安全道路上“彎道超車”的利器。

【51CTO.com 原創(chuàng)稿件，轉(zhuǎn)載請注明作者及出處。】