如何加强信息安全的人员管理

相关推荐

如何加强信息安全的人员管理

加强员工的信息安全管理(原创)加强员工的信息安全管理

随着信息系统在企业中的应用，企业的每个员工都或多或少地拥有一定的访问权限。但当员工离职后，大多数企业却没有适当的机制来确保此员工不再拥有任何权限，员工残存的权限将有可能被员工本人或是其他黑客利用，从而破坏公司的信息安全。

有的企业对员工采取了正确的雇用策略，比如对员工进行背景调查、定期工作轮换、多人负责制等，但却在最后一环马虎了。对于离职员工，企业往往只是简单地收回门卡、删除计算机账号等，但这些是远远不够的。

不要低估风险

残存的各种账号

企业有可能有多个信息系统，比如销售系统、客户系统、应用系统、办公系统等。由于许多企业的信息化成熟度并不高，这些系统并没有集成在—起，也就有了各式各样的账号。而作为员工离职手续执行者的人力资源部的工作人员并没有能力了解这么多，没有办法发现这个问题，也不可能及时通知到所有系统的管理者对账号进行禁用或是删除。这样，很可能会有—部分账号被保留下来，更可怕的是，企业中很少有人会知道并关心这些账号的继续存在。而离职员工仍可能利用这些账号来继续使用这些系统，甚至获得销售、客户、产品等保密资料。

残存的各种资源权限

员工很可能拥有VoIP、VPN、Modem接入、远程主机、E-mail等权限。如果一个离开很久的员工还用着公司的E-mail，可能被别有用心的人利用，比如用来欺骗客户、散播谣言、收取公司的广播邮件等。另外要特别注意的是一些技术开发和管理人员，他们拥有的权限更多，而且有些员工在工作中可能为了方便打开了一些后门，或者是有意无意地安装了一些木马类的程序，这些更难被发现和删除。

其它内部信息及隐性信息

在企业中，—个员工很可能无意或有意地得到其他人的权限或账号，如一些公用测试账号、要好同事的账号和密码等。还有的员工可能了解企业网络中的一些漏洞、后门等不公开的信息，这些信息如果透露给黑客，很可能危害到系统的安全。这些残存的信息，不仅可能被原来的员工所利用，原来的员工也可能会有意无意地把它们提供给其他有违法意图的人。实际上，随着员工电脑技能的提高和一些黑客工具的泛滥，再加上多数企业在对待离职员工的账号终结等问题的重视度不够，这些现象已经开始有扩大的趋势，也就是说，企业真正遇到这个风险的机率越来越高。

如何降低风险

企业认识到这个问题所带来的风险后，如何降低甚至消灭这个风险呢？我们几乎找不出什么有效的通用办法。不过，企业可以根据自己的实际情况参考以下几点建议：

建立和完善的企业安全策略

建立完善的企业安全策略其实是非常必要的，能使您处处主动，而不是“头痛医头，脚痛医脚”。在策略中要考虑到配置管理、变更管理，从而能有效地发现和防止员工随意安装非授权的软件等。

尽可能建立专用管理系统

当信息系统发展到比较成熟的阶段，企业的各个系统应该整合在一起，同时拥有完善的数据控制机制，从而避免一个员工有多个账号等角色混乱的现象。但是在这之前，企业也可以建立一个专用的管理系统，由它来集中控制和管理企业内部的账号、权限、角色等。这个管理系统能够减少人工处理的难度和工作量，可以提供诸如自动检查和删除过期账号、定期要求修改密码、查询和修改员工账号等功能。

在安全管理中要注意的问题

如果不能建立专用的管理系统，就要靠人工来管理，在安全管理中有很多问题值得注意，比如：

小心公共账号。对于公共账号要严格控制其权限，只能访问工作所需的有限的内容；公共账号不用后要立即删除；告诫员工不得向无关的人员透露。

小心常用密码。教育员工避免对别人公开自己的常用密码，不要使用重复的密码。

加强系统日志功能。各种日志就是将来跟踪用户行为的证据，如果有事情发生还可以成为司法取证的重要证据。

小心分配资源，及时收回不用的资源。要根据员工的工作职责、资历、业务要求等决定员工需要接入哪些公司资源，以及为什么需要接人。当实际情况变化后，要及时收回不用的资源。

加强人力资源部门和IT部门的沟通

人力资源部门和IT部门在很多方面都要通力合作。人力资源部门在裁员或重组之前最好能预先通知IT部门，IT部门要根据情况事先评估这些员工在企业信息系统中的各种账号、权限等，并预先设计好工作范围和操作流程。

尊重员工，保持良好的关系

有些公司在解雇员工的时候显得非常专制，比如限制员工将个人数据备份、不给员工足够的收拾物品的时间等，孰不知这样做一方面会引起离职员工的不满和敌意；另一方面，还可能引起其他在职员工的危机感，造成不稳定因素。所以，在解雇员工时也要有理有据，在保证公司机密的同时给予足够诚意的尊重。

利用多种途径进行约束

要和员工签订明确的保密合同，通过各种方式来提高员工的安全意识，让员工明白如果不注意保密，或者攻击和破坏公司信息安全的后果和法律责任。

虽然风险始终存在，但也不必害怕。只要我们对风险有足够的认识，采取了正确的措施，就可以将损失减到最小程度。(加强员工的信息安全管理(原创)嗯http://www.oh100.com不错。举例说明更好。

对于应用系统较多的网络而言，个人认为：

1. 首先，所有数据采用集中存储控制，可避免因员工离职心怀不满恶意删除数据；客户端禁止共享。

2. ERP\PDM\OA以及核心交换、路由等系统和设备全部采用LDAP或RADIUS统一的认证平台，在员工离职前即可锁定其账号http://www.oh100.com，使其不可以登录所有系统。

3. 如果内外网互联互通的话，禁止使用QQ\MSN等无法监控信息传输的通信软件；

4. 监控所有内外邮件、WEB访问、FTP访问、TELNET访问，最好禁止内网访问外网22 445端口。

5. 签订保密协议。

如有不足，敬请补充。加强员工的信息安全管理(原创)补充一点，如果数据比较需要保密，禁止客户端使用本地输出设备。加强员工的信息安全管理(原创)把BS7799贴一遍就行了，不负责任的方案就是那样写的加强员工的信息安全管理(原创)控制点写的很全面，不过没有具体的东西，可操作性不强。

加强信息安全工作的管理对策2015-09-08 14:17 | #2楼

随着信息时代的到来，电子、通信、控制、计算机与人工智能技术为人类社会创造了新的奇迹，但同时也为战争和犯罪提供了新的条件。失泄密事件频发，很大的威胁着人类社会。法制建设、组织机构、人员队伍素质都在一定程度上制约着信息安全工作，因此信息安全不仅仪是技术问题，同时也是管理问题。

面对信息安全管理中存在的诸多问题，我们必须要充分认识做好信息安全管理工作的重要性，切实加强教育，强化管理，狠抓技术技能的提高和信息管理人才队伍的建设，不断提高确保信息安全的能力和本领。

(一) 从思想入手，切实增强信息安全管理意识

首先应当在本组织内部营造信息安全管理的氛围。要组织开展针对性、科学性强的多种形式的宣传教育活动。结合典型的事例，提高组织成员对信息安全重要性和危害性的认识，并结合信息时代的形势和特点，有效地开展技术安全教育和安全管理教育。二是建立完善信息安全保密教育制度。实现信息安全保密教育的制度化、规范化、经常化是当前对安全工作的明确要求，也是强化信息安全工作的迫切需要。为此，必须明确教育任务，严密教育组织，优化教育形式，切实在增长知识、强化意识、提高认识上下功夫。

(二) 从技术入手，切实强化安全隐患防范能力

信息安全技术，是具有对抗性的敏感技术，目前许多信息系统中的核心部件大多都依赖进口，但真正先进、核心的信息安全技术和产品足是买不来的。因此，信息安全管理中保持技术的优势十分重要。另外，又因为信息安全技术含量高、更新快、开发投入高、难度大，为此，我们应当根据自己的实际情况重点加强基础技术和关键技术的研究，做到自主开发各种基础及核心技术，只有这样才能从根本上摆脱受制于人的状况，以确保敏感信息的绝对安全。

(三) 从人才入手，切实提高信息安全管理能力

加强对信息安全管理人才的培养，是确保信息安全的重要手段。在加强信息安全领域管理人才的培养中，应遵守培养和引进相结合的原则。一是在本组织内对相关人员开设信息安全管理课程，着力培养一批精通信息安全技术的人才，二是合理利用人力资源，使懂技术的人员为信息安全管理服务。应当客观看待信息安全管理人才，着力提高其素质，既要注意培养高层次个体的信息化安全管理人才，又要善于站在“优秀”的高度来审视群体的信息化安全管理人才，科学筹划，认真设计，精心培养。

(四) 从秩序入手，切实加大信息安全管理力度

首先要加强对各类涉及敏感信息的人员管理，其次要加强对载有敏感信息的单位、设备、没施的管理。管理者要做到定期检查、不定期检查和实时跟踪检查的相互结合。对涉及敏感信息的人员，要按照有关规定使用设备，不随意在任何场合谈论敏感信息、不将涉及敏感信息的资料私自带出办公场所。平时对涉及敏感信息的单位、设备、设施，要加强网络安全防护建设，在本组织内部局域网和终端要安装防火墙、入侵检测、防病毒软件和电磁辐射干扰器。除此之外，还应在本组织内部建立健全信息安全管理制度和技术标准，按照分级负责的原则构建信息安全管理体系。

【如何加强信息安全的人员管理】相关文章：

加强员工管理05-10