国内一些公司的IT安全技术人员经常使用不透明的安全控制措施来对付员工,比如在不通报不告知的情况下,突然收紧防火墙规则或实施严格的上网管控,中断员工们对某些类型网站的访问,比如非生产力相关的炒股、视频等等,结果搞的员工们很迷茫、无奈甚至愤怒。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:当然,IT安全人员有技术能力这样做,但是在是否有适当的管理授权这样做呢?很多IT安全技术人员不想这个问题,就滥用仅有的一点点技术权力,结果引来怨言,当然,其他部门也可能会伺机报复,比如财务部门可能就会找借口卡IT的预算和报销,行政部门也可能会搞些地下小动作,给IT部门难堪。最终,大家在这种对抗中不断内耗,有的人干脆消极工作甚至躺平,对生产力产生不可忽视的负面影响。

IT安全技术人员可能会说:那些网站属于不良的,过滤掉它们,正是为了防止过度上网,影响了生产力呀!可问题在于:依据是什么?有管理员的技术权限,拍拍脑袋就随便做主了?不怕得罪人被人暗地里扔砖头?说到底,信息安全技术能做很多事,但是技术也是把双刃剑,用不好的话,会在带来“安全性”的同时也带来“保守性”,在伤及他人的同时,也刺伤自己。

那么,如何正确用好安全技术呢?在管理规范下,按规章制度进行,这就需要有信息安全政策,信息安全政策能够将帮助我们重新认识应该保护哪些信息安全,以及重新认识安全漏洞并知道如何报告/处理它们。

在日常工作中,我们必须对某些信息达到严格的保密标准,为防范涉密信息泄露,有些公司快速地实施了严格的数据泄露防范系统,而不是先建立一套数据保护政策,这种本末倒置的做法真是让人无语,换来的不是员工们的理解,而是误解。比如,一些好员工们会想:公司把我们当贼防着,干嘛费力干活儿呢!而坏员工们会想:得找个路子越过这种防范系统,不管拍照、手抄还是强记,都应该弄一些信息数据出去。

说到底,我们需要安全意识沟通在前,让员工们了解必须保护日常处理的业务/机密信息。信息安全政策基于谨慎和负责任的商业行为、合同义务、法律法规,旨在帮助保护我们处理的信息。因此,我们有责任处理并保持信息的机密性。

专有信息是指公司、客户、员工和与我们有业务往来的人们的所有非公开或敏感信息,包括但不限于商业秘密、专有信息和其他机密信息。根据公司的政策,公司员工必须对此类专有信息保密。制定保护员工和客户敏感数据的政策很重要,这些政策确保围绕个人和专有信息的良好业务流程,有助于在遵守适用法律的同时阻止欺诈和身份盗用。

保护个人信息的做法也是保护公司的业务运营,因为只有这样才会减少任何有意或无意不当披露或使用公司、其客户、员工和与其有业务往来的人员隐私信息的威胁。当然,这是所有人的工作职责,也是法定义务,因为《民法典》、《网络安全法》、《个人信息保护法》都有相关的条款。

说到这儿,这么多信息数据,怎么区分?谁说了算?就需要有数据分类分级的政策和标准。了解了思想,行动起来就很简单,比如信息通常可分为四类:

  • 国家秘密和商业机密信息
  • 个人信息
  • 仅供内部使用的商业信息
  • 公开信息

数据分类分级之后,就有了相应的对策,哪些数据该获得怎么级别的安全保护,该做些什么,自然而然就出来了。比如:受限和机密信息必须加密。机密信息不得在传真机、台式机或计算机屏幕上处于无人看管状态。不得向未签署保密协议的任何人员披露商业机密信息。

此外,还有一些更多的政策和准则,比如:访问控制管理政策,即在“需要知道”的基础上授予对机密信息的访问权。给予执行工作职责所需的访问级别。进而引申出身份保护及密码管理政策,比如:始终保护好密码,不使用简单的密码,不将密码写下来而是牢牢记住,任何时候都不能分享,即使同事也不能“借用”。如果遭遇密码丢失/被盗,需立即报告。

还有一个不可少的政策,就是信息系统的正当使用,前文我们讲了如果没有明文的政策依据,不要随意搞事。那么,该建立什么样的正当使用政策呢?比如要监控和审计,这个话题不能逃开不讲,因为法律有要求,得和员工们敞开沟通。说明了,使用公司的信息系统,主要应该用于工作,公司会有监控和记录,员工不要期望上网隐私。同时,要出台禁止不当的活动,比如:

  • 色情、淫秽内容或攻击性语言
  • 过度的私人网络资源使用
  • 对受法律保护对象的不当评论
  • 对公司带来负面影响的材料
  • 其他违反法律法规的内容

当然,场所安全有时也是不可避开的话题,也需要有安全政策,比如防范“尾随”的政策:进入安全设施时,请勿让您身后的人在没有自己的钥匙或徽章的情况下进入。如果发现有尾随进入的情况或工作区域内未授权的陌生人员,立即向安全部门报告。再比如桌面安全政策:所有包含机密信息的媒体(如纸张、CD-ROM、记忆棒等)在不使用时必须放在上锁的办公室、文件、抽屉或橱柜中。粉碎您需要处理的机密和敏感信息。启用带密码的屏幕保护程序,并确保在您离开座位时锁定电脑的屏幕。

最后,还有一个技术管控不力的社会工程学难题。就需要让员工们理解:信息安全不仅仅是一个高科技问题。有许多有效的低技术方法,有时被称为“社会工程”,要防范未经授权的个人使用如下一些方法来获取机密信息。

  • 通过网络、电话甚至亲自上门,冒充他人身份
  • 通过夺取员工的信任、迷惑他们来哄骗员工的信息(如密码)
  • 建立网络钓鱼系统,然后欺诈人们登录,并窃取用户账号、密码和验证码
  • 进入工作区,偷窃员工电脑中敏感和机密信息
  • 从桌面、文印室、会议室、垃圾箱中找寻有价值的文件或信息

总结一下,当今,各类公司都会被委托处理大量的个人和机密信息,无疑我们必须采取预防措施以确保这些信息保持的隐私与保密。但是,我们需要采取“有理有据”的行动,即在适当的安全政策下,在充分的员工(受众)沟通之后进行。

昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”信息安全沟通方面的不足,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习及沟通计划。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。