保护企业信息安全,我们都能做些什么?
原载于《现代物业·设施管理》2018年8期
“因企业信息泄露而造成损失的情况,80%的企业每天都在发生。”
乍一看,企业信息安全和行政部门没有什么关系。
为了使企业赢得更好的发展,保护企业信息安全是每一个员工的责任。对行政部门来说,作为公司财产、信息的守护者,几乎在每一个环节都设置了层层屏障以保护信息安全。从人手一台的电脑、各个楼层的打印机、进出大楼各部门的门禁系统、无处不在的WiFi网络……
俗话说得好:安全问题,重在防范。对此,一些大公司是怎么做的呢?有哪些可学习的方法和值得注意的地方?
访客管理
在对外信息安全上,访客是外部人员第一源头。
“当非公司成员的陌生人在没有公司同事陪同下,在公司办公区,尤其是财务、研发、机房等保密性质较高的区域随意走动,此时如何判断访客随意走动的动机?”这一现象应该引起足够的重视,并得到妥善管理。
在很多企业的访客管理流程中,会相应明确访客的活动范围、路径及行为规范,在访客预约时即会告知,同时,在来访后需由接待人员全程陪同及负责。
前台话术
“前台接待访客时,当访客询问企业敏感信息时,应对话术稍有不慎,有时可能给企业带来致命的舆论压力。”
前台除了接打电话会有相应的突发状况,一般情况下,还有全公司上下少则数十人,多则几百人的通讯录。员工通讯录的泄露,不仅会带来许多广告骚扰电话,与业务相关的时候,还有可能导致人员流失、业务部门泄密等。
针对这一场景,行政前台都有一条不成文的规则,即“内部人员的电话号码不能从前台嘴里传出去。除内部人员外,不随便转接进内线”。
企业内外网系统权限及风险
在企业信息安全中,内外网的系统权限及防攻击管理是由我们熟知的IT安全部门统一管理的。技术相关的信息安全远比行政人员接触的专业和艰深,是传说中“没有硝烟的战争”。
在这里,我们只需要关注和行政联系紧密的部分即可,比如:公司核心部门的电脑设备USB等设备是否经技术手段处理;员工密码安全意识;内部系统访问权限;如何给文件做加密处理;怎样限制或监管员工随意外发公司内部文件;将网络行为分组,根据不同组别的特性设置不同的行为规则(如服务器组、行政组、研发组等);定期审核行为日志等。
“让员工在企业中的线上行为都得到记录、监管”,这是保障企业信息安全的一种争议比较大的方式。如何平衡员工隐私是另一个维度的问题,但在保护信息安全方面这一做法对企业来说是非常有效的。
资产管理
每当出现员工状态变动,离职入职时回收电脑、遗留文件处理这些任务都会落在行政同学们的头上。
“员工离职后,电脑回收未进行技术清空处理便流转给下一任实习员工继续使用,电脑里如果有大量的企业核心业务数据将带来极大的隐患。”
在办公电脑回收与再发放这一环节中,行政成了承前启后处理关键机密文件的重要环节。一般情况下,办公电脑回收后再给到下一位使用者之前,里面所有文件都要由行政联合业务部门共同筛查,进行判断储存及删除清空处理。
而在电脑主机及服务器机房方面,行政一般还会采用易碎贴等方式封闭PC主机(成本低廉,可快速判断是否被拆卸)、办公主机和服务器,并定期巡查。
文印间打印区的打印机
打印机泄露机密信息材料这一场景相信是大家最熟悉的了,各大电视剧电影都已经给我们上过无数次课。
在这一环节上,我们的应对策略也是多到数不胜数,比如:将打印机与门禁卡联系起来,刷卡打印,做到有据可寻;不同部门的打印机分开使用,财务、CEO办公室等敏感部门的打印机单独配置;在打印区安装摄像头防止不法人员安装同步软件或读取信息软件;拒绝使用低值二次循环改装硒鼓,以防带来风险隐患……
在打印这一环节,最容易被泄露的是这一类信息:内部掌握的合同、协议、意向书及可行性报告、重要会议记录、财务预决算及各类财务报表、统计报表、员工人事档案、工资性及劳务性收入、资料……所以,我们在这部分的信息资料管理上一般也要做到文件留名、责任到人。
会议室
会议室作为企业运转、信息互通有无、团队讨论不可缺少的一环,在信息安全上也容易出现一些小问题。
在这一点上,很多中小企业并不能做到将手机收在会议室外这一动作。而在大型企业的重要会议中,“收手机”是绕不过的一个环节,除了防止手机铃声响扰乱会议秩序,更多的是为了防止员工个人进行会议录音、拍照、录像,防止年度战略重要决策外泄。
其他方面还需要注意会议室的隔音效果、会议资料覆盖到的位置以及妥善处理会议结束后的资料、文字、音频、视频等,部分无纸化会议结束后,彻底删除会议室内的会议演示文件。
垃圾箱/碎纸机
这也许是我们不会注意的地方,但也是最容易出问题的地方。
在做员工的信息安全意识宣传时,我们需要在打印区、废纸篓、碎纸机周边,做好文字提示语。比如:“涉密文件请使用碎纸机销毁”“重要文件请勿随意存放”等。并且与HR部门在入职培训时做配合,在新员工踏入企业时,就将相关的规则告知,以便将这一环节的信息输出风险降到最低。
档案文件管理
行政部门负责的档案文件管理中,如果出现企业信息泄露,应该算是绩效上的重大失职了。
档案文件管理是一个很大的话题,比如数字化档案文件管理转型、档案文件管理规则等,其中与企业信息保密相关方面我们需要注意的是:
1、将档案文件、保密信息做分级处理:绝密、机密、秘密。
2、保密文件需要标明保密等级、保密期限、保密标识和密件保管人,且根据不同密级信息,规定可知晓的人员范围。
3、设定规则,禁止随意丢弃保密文件或保密文件生产过程中的中间版本文件、废弃书面保密信息投入专用的碎纸机及废弃箱。
保密等级文件曾在大型企业、国有企业、外资企业管理中都有各种严密的规则。如今互联网企业线上协作较多,倡导无纸化办公,所以在这方面会有一定程度的忽视,大家还是需要保持一定的警觉。
最后
行政作为企业安全管理的大管家,除了在环境安全方面要保持警惕,在信息安全上,也应该多加留心。不让安全隐患潜伏在我们所管辖的办公空间内,也别让“职场无间道”上演。企业信息安全是一场持久战,虽然没有绝对的安全,但是在流程上我们都不应该掉以轻心。
本文为《现代物业》、 设施管理网(cnfm2001.com)联合版权所有,禁止转载。如有需要,请联系xdwyxmt@126.com。