如何加強信息安全的人員管理

加強員工的信息安全管理(原創(chuàng))加強員工的信息安全管理

隨著信息系統(tǒng)在企業(yè)中的應(yīng)用，企業(yè)的每個員工都或多或少地擁有一定的訪問權(quán)限。但當員工離職后，大多數(shù)企業(yè)卻沒有適當?shù)臋C制來確保此員工不再擁有任何權(quán)限，員工殘存的權(quán)限將有可能被員工本人或是其他黑客利用，從而破壞公司的信息安全。

有的企業(yè)對員工采取了正確的雇用策略，比如對員工進行背景調(diào)查、定期工作輪換、多人負責制等，但卻在最后一環(huán)馬虎了。對于離職員工，企業(yè)往往只是簡單地收回門卡、刪除計算機賬號等，但這些是遠遠不夠的。

不要低估風險

殘存的各種賬號

企業(yè)有可能有多個信息系統(tǒng)，比如銷售系統(tǒng)、客戶系統(tǒng)、應(yīng)用系統(tǒng)、辦公系統(tǒng)等。由于許多企業(yè)的信息化成熟度并不高，這些系統(tǒng)并沒有集成在—起，也就有了各式各樣的賬號。而作為員工離職手續(xù)執(zhí)行者的人力資源部的工作人員并沒有能力了解這么多，沒有辦法發(fā)現(xiàn)這個問題，也不可能及時通知到所有系統(tǒng)的管理者對賬號進行禁用或是刪除。這樣，很可能會有—部分賬號被保留下來，更可怕的是，企業(yè)中很少有人會知道并關(guān)心這些賬號的繼續(xù)存在。而離職員工仍可能利用這些賬號來繼續(xù)使用這些系統(tǒng)，甚至獲得銷售、客戶、產(chǎn)品等保密資料。

殘存的各種資源權(quán)限

員工很可能擁有VoIP、VPN、Modem接入、遠程主機、E-mail等權(quán)限。如果一個離開很久的員工還用著公司的E-mail，可能被別有用心的人利用，比如用來欺騙客戶、散播謠言、收取公司的廣播郵件等。另外要特別注意的是一些技術(shù)開發(fā)和管理人員，他們擁有的權(quán)限更多，而且有些員工在工作中可能為了方便打開了一些后門，或者是有意無意地安裝了一些木馬類的程序，這些更難被發(fā)現(xiàn)和刪除。

其它內(nèi)部信息及隱性信息

在企業(yè)中，—個員工很可能無意或有意地得到其他人的權(quán)限或賬號，如一些公用測試賬號、要好同事的賬號和密碼等。還有的員工可能了解企業(yè)網(wǎng)絡(luò)中的一些漏洞、后門等不公開的信息，這些信息如果透露給黑客，很可能危害到系統(tǒng)的安全。這些殘存的信息，不僅可能被原來的員工所利用，原來的員工也可能會有意無意地把它們提供給其他有違法意圖的人。實際上，隨著員工電腦技能的提高和一些黑客工具的泛濫，再加上多數(shù)企業(yè)在對待離職員工的賬號終結(jié)等問題的重視度不夠，這些現(xiàn)象已經(jīng)開始有擴大的趨勢，也就是說，企業(yè)真正遇到這個風險的機率越來越高。

如何降低風險

企業(yè)認識到這個問題所帶來的風險后，如何降低甚至消滅這個風險呢？我們幾乎找不出什么有效的通用辦法。不過，企業(yè)可以根據(jù)自己的實際情況參考以下幾點建議：

建立和完善的企業(yè)安全策略

建立完善的企業(yè)安全策略其實是非常必要的，能使您處處主動，而不是“頭痛醫(yī)頭，腳痛醫(yī)腳”。在策略中要考慮到配置管理、變更管理，從而能有效地發(fā)現(xiàn)和防止員工隨意安裝非授權(quán)的軟件等。

盡可能建立專用管理系統(tǒng)

當信息系統(tǒng)發(fā)展到比較成熟的階段，企業(yè)的各個系統(tǒng)應(yīng)該整合在一起，同時擁有完善的數(shù)據(jù)控制機制，從而避免一個員工有多個賬號等角色混亂的現(xiàn)象。但是在這之前，企業(yè)也可以建立一個專用的管理系統(tǒng)，由它來集中控制和管理企業(yè)內(nèi)部的賬號、權(quán)限、角色等。這個管理系統(tǒng)能夠減少人工處理的難度和工作量，可以提供諸如自動檢查和刪除過期賬號、定期要求修改密碼、查詢和修改員工賬號等功能。

在安全管理中要注意的問題

如果不能建立專用的管理系統(tǒng)，就要靠人工來管理，在安全管理中有很多問題值得注意，比如：

小心公共賬號。對于公共賬號要嚴格控制其權(quán)限，只能訪問工作所需的有限的內(nèi)容；公共賬號不用后要立即刪除；告誡員工不得向無關(guān)的人員透露。

小心常用密碼。教育員工避免對別人公開自己的常用密碼，不要使用重復的密碼。

加強系統(tǒng)日志功能。各種日志就是將來跟蹤用戶行為的證據(jù)，如果有事情發(fā)生還可以成為司法取證的重要證據(jù)。

小心分配資源，及時收回不用的資源。要根據(jù)員工的工作職責、資歷、業(yè)務(wù)要求等決定員工需要接入哪些公司資源，以及為什么需要接人。當實際情況變化后，要及時收回不用的資源。

加強人力資源部門和IT部門的溝通

人力資源部門和IT部門在很多方面都要通力合作。人力資源部門在裁員或重組之前最好能預先通知IT部門，IT部門要根據(jù)情況事先評估這些員工在企業(yè)信息系統(tǒng)中的各種賬號、權(quán)限等，并預先設(shè)計好工作范圍和操作流程。

尊重員工，保持良好的關(guān)系

有些公司在解雇員工的時候顯得非常專制，比如限制員工將個人數(shù)據(jù)備份、不給員工足夠的收拾物品的時間等，孰不知這樣做一方面會引起離職員工的不滿和敵意；另一方面，還可能引起其他在職員工的危機感，造成不穩(wěn)定因素。所以，在解雇員工時也要有理有據(jù)，在保證公司機密的同時給予足夠誠意的尊重。

利用多種途徑進行約束

要和員工簽訂明確的保密合同，通過各種方式來提高員工的安全意識，讓員工明白如果不注意保密，或者攻擊和破壞公司信息安全的后果和法律責任。

雖然風險始終存在，但也不必害怕。只要我們對風險有足夠的認識，采取了正確的措施，就可以將損失減到最小程度。(加強員工的信息安全管理(原創(chuàng))嗯http://m.emrowgh.com不錯。舉例說明更好。

對于應(yīng)用系統(tǒng)較多的網(wǎng)絡(luò)而言，個人認為：

1. 首先，所有數(shù)據(jù)采用集中存儲控制，可避免因員工離職心懷不滿惡意刪除數(shù)據(jù)；客戶端禁止共享。

2. ERP\PDM\OA以及核心交換、路由等系統(tǒng)和設(shè)備全部采用LDAP或RADIUS統(tǒng)一的認證平臺，在員工離職前即可鎖定其賬號http://m.emrowgh.com，使其不可以登錄所有系統(tǒng)。

3. 如果內(nèi)外網(wǎng)互聯(lián)互通的話，禁止使用QQ\MSN等無法監(jiān)控信息傳輸?shù)耐ㄐ跑浖��?/p>

4. 監(jiān)控所有內(nèi)外郵件、WEB訪問、FTP訪問、TELNET訪問，最好禁止內(nèi)網(wǎng)訪問外網(wǎng)22 445端口。

5. 簽訂保密協(xié)議。

如有不足，敬請補充。加強員工的信息安全管理(原創(chuàng))補充一點，如果數(shù)據(jù)比較需要保密，禁止客戶端使用本地輸出設(shè)備。加強員工的信息安全管理(原創(chuàng))把BS7799貼一遍就行了，不負責任的方案就是那樣寫的加強員工的信息安全管理(原創(chuàng))控制點寫的很全面，不過沒有具體的東西，可操作性不強。

加強信息安全工作的管理對策2015-09-08 14:17 | #2樓

隨著信息時代的到來，電子、通信、控制、計算機與人工智能技術(shù)為人類社會創(chuàng)造了新的奇跡，但同時也為戰(zhàn)爭和犯罪提供了新的條件。失泄密事件頻發(fā)，很大的威脅著人類社會。法制建設(shè)、組織機構(gòu)、人員隊伍素質(zhì)都在一定程度上制約著信息安全工作，因此信息安全不僅儀是技術(shù)問題，同時也是管理問題。

面對信息安全管理中存在的諸多問題，我們必須要充分認識做好信息安全管理工作的重要性，切實加強教育，強化管理，狠抓技術(shù)技能的提高和信息管理人才隊伍的建設(shè)，不斷提高確保信息安全的能力和本領(lǐng)。

(一) 從思想入手，切實增強信息安全管理意識

首先應(yīng)當在本組織內(nèi)部營造信息安全管理的氛圍。要組織開展針對性、科學性強的多種形式的宣傳教育活動。結(jié)合典型的事例，提高組織成員對信息安全重要性和危害性的認識，并結(jié)合信息時代的形勢和特點，有效地開展技術(shù)安全教育和安全管理教育。二是建立完善信息安全保密教育制度。實現(xiàn)信息安全保密教育的制度化、規(guī)范化、經(jīng)�；�是當前對安全工作的明確要求，也是強化信息安全工作的迫切需要。為此，必須明確教育任務(wù)，嚴密教育組織，優(yōu)化教育形式，切實在增長知識、強化意識、提高認識上下功夫。

(二) 從技術(shù)入手，切實強化安全隱患防范能力

信息安全技術(shù)，是具有對抗性的敏感技術(shù)，目前許多信息系統(tǒng)中的核心部件大多都依賴進口，但真正先進、核心的信息安全技術(shù)和產(chǎn)品足是買不來的。因此，信息安全管理中保持技術(shù)的優(yōu)勢十分重要。另外，又因為信息安全技術(shù)含量高、更新快、開發(fā)投入高、難度大，為此，我們應(yīng)當根據(jù)自己的實際情況重點加強基礎(chǔ)技術(shù)和關(guān)鍵技術(shù)的研究，做到自主開發(fā)各種基礎(chǔ)及核心技術(shù)，只有這樣才能從根本上擺脫受制于人的狀況，以確保敏感信息的絕對安全。

(三) 從人才入手，切實提高信息安全管理能力

加強對信息安全管理人才的培養(yǎng)，是確保信息安全的重要手段。在加強信息安全領(lǐng)域管理人才的培養(yǎng)中，應(yīng)遵守培養(yǎng)和引進相結(jié)合的原則。一是在本組織內(nèi)對相關(guān)人員開設(shè)信息安全管理課程，著力培養(yǎng)一批精通信息安全技術(shù)的人才，二是合理利用人力資源，使懂技術(shù)的人員為信息安全管理服務(wù)。應(yīng)當客觀看待信息安全管理人才，著力提高其素質(zhì)，既要注意培養(yǎng)高層次個體的信息化安全管理人才，又要善于站在“優(yōu)秀”的高度來審視群體的信息化安全管理人才，科學籌劃，認真設(shè)計，精心培養(yǎng)。

(四) 從秩序入手，切實加大信息安全管理力度

首先要加強對各類涉及敏感信息的人員管理，其次要加強對載有敏感信息的單位、設(shè)備、沒施的管理。管理者要做到定期檢查、不定期檢查和實時跟蹤檢查的相互結(jié)合。對涉及敏感信息的人員，要按照有關(guān)規(guī)定使用設(shè)備，不隨意在任何場合談?wù)撁舾行畔�、不將涉及敏感信息的資料私自帶出辦公場所。平時對涉及敏感信息的單位、設(shè)備、設(shè)施，要加強網(wǎng)絡(luò)安全防護建設(shè)，在本組織內(nèi)部局域網(wǎng)和終端要安裝防火墻、入侵檢測、防病毒軟件和電磁輻射干擾器。除此之外，還應(yīng)在本組織內(nèi)部建立健全信息安全管理制度和技術(shù)標準，按照分級負責的原則構(gòu)建信息安全管理體系。

【如何加強信息安全的人員管理】相關(guān)文章：

如何加強員工管理05-10

后廚人員如何管理03-11

如何加強管理者自身性格的鍛煉05-17

如何加強員工培訓05-16

如何加強學風建設(shè)總結(jié)05-18

如何加強醫(yī)患溝通技巧06-07

加強員工管理05-10

人員安全管理措施03-21

如何加強員工技能培訓05-10

如何加強三嚴三實05-07