CIO如何打好信息安全的“保卫战”

　　人员流动是任何企业都无法避免的事情，包括人员离职流失和内部岗位变动。正常的人员流动有利于企业获得新的人力资源和技能。但这一流动的过程却会给企业的IT信息安全带来巨大的挑战。因为当人员流动时，也就意味着代表公司巨大价值的IT信息资产也会随之发生流动，例如某些机密信息没有被交接或者被非法窃取。

　　在上周，笔者参加了一个本地的CIO沙龙研讨会，现场调查显示几乎有一半的人员承认在离职时会带走原公司的资料，包括工作文件、技术资料等相关电子文档。调查还发现有65%的人员可以轻松地下载一些“有竞争力”的资料和信息，然后带到下一份工作中为自己求职加薪，更可怕的是这些资料中有大部份并不是他所负责的资料。因此，CIO应该要采取有效的措施来保障人员流动时IT信息的安全。以下是保障IT信息安全的几个有效措施：

　　1.IT信息安全策略须重视人员权限

　　俗话说，道高一尺，魔高一丈。大多数人误解了以为阻止即时通讯、电子邮件以及外部存储设备的使用，就不必担心资料外泄。事实上这只是技术上的限制，CIO在制定IT信息安全策略时应要把人员权限作为一个重要的关注点。因此，CIO应要把信息安全的人员权限看作是一种公司运营层面的挑战，而不仅仅是技术层面上的挑战。也就是说，针对人员流动时的IT信息安全问题，不仅仅是硬件和软件的限制问题，最终更是人的问题。

　　2.建立人员流动的规范化信息安全制度

　　虽然人员流动使得IT信息安全事件时有发生，给企业带来了损失。但最为可惜的是，大多数企业的CIO和IT管理人员往往只是在安全事件发生后捶胸顿足、哀声长叹。在我多年的IT从业经验中，真把人员流动时的IT信息安全当作一件大事来抓的CIO还真是不多。或即便是考虑了IT信息安全，也仅仅是从技术角度层面来考虑，真正从管理制度角度来考虑信息安全的较少。更令人担忧的是不少CIO对于人员流动时的信息安全问题根本是熟视无睹，只是交给人力资源部门来简单处理。因此，IT部门必须明确哪些信息是离职人员可以带走的，哪些必须要交接和保密的，要建立规范化的人员流动信息安全制度，要上升到制度化的管理上来。

　　3.监控高风险用户和高价值信息的合规使用

　　有时公司需要积极地监视某些角色，特别是这些角色对企业会造成极高的IT信息安全风险，企业要时时监视以便发现其潜在的“不可接受”的行为。例如，一位开发经理为谋求一个职位可能会将他能够访问的敏感信息带到另外一家竞争公司那里去，这种情况下他的访问或许是被授权的，不过却应该监视他是否存在着滥用或非法使用的行为，以避免这些高风险人员在流动前有意识的下载一些不属于他负责的重要机密信息。因此，监控高风险用户和高价值机密信息的合规使用，采取防患于未然的预防式手段是防止其流动时造成IT信息安全事件的有效方法之一。

　　4.加强对移动设备和电子邮件的管理

　　常见的移动设备如笔记本电脑、掌上电脑、智能手机、USB设备等，它们给信息存储与转移提供了非常大的便利，但是它们对于企业的信息安全也带来了非常大的隐患。因此。CIO需要清楚认识到移动设备不只是方便使用的工具之一，也是关乎IT信息安全的问题。另外，互联网时代电子邮件在企业内外部的沟通中，一直扮演着十分重要的角色，但是邮件造成的IT信息安全风险事件也正在增多。因此，CIO对移动设备和电子邮件应该要进行一定程度的监管。事实上，要避免邮件安全事件的方式可以是很简单的，只要把邮件在服务器进行备份，并制定技术扫描和IT安全分析是否存在滥用，就可以有效的避免员工通过邮件窃取机密资料。

　　5.以防为主，加强员工IT信息安全教育

　　人们普遍认为IT信息安全只是IT部门的事情，其实这并不符合实际情况。事实上所有的员工都会是IT信息安全的威胁。大多数的员工都会在流动时或多或少的将企业的重要资料外带，主因是大多数员工对其行为的危险性不以为然，或是根本就不了解公司的IT信息安全策略，或是不清楚哪些资料在人员流动时不能外泄和外带。因此，在人员越来越流动的今天，有效的做法是要给员工进行相关培训，告知员工哪些资料是机密资料应该要慎重处理。IT信息安全责任存在于公司的各个员工之中，应该要做到防微杜渐，以小见大。

　　IT信息安全问题人人有责，因为任何一个人都有可能会离职流失或内部流动。在人员流动时，一场保卫企业信息安全的新战役已经近在眼前，这是一个不容忽视的问题，也是关系到企业利益是否受损的重大事情。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。