因此,為了要維護資訊資產的安全,企業可以建立實施資訊安全管理系統(ISMS)來協助,而在保護資訊資產過程之中,又以「人」最為重要,因為企業的經營發展,可能都維繫在每一位員工身上,所以,無論是管理階層或作業人員,都要具備資訊安全的意識與認知,才能讓企業長治久安,達到永續經營的目標。
為何要重視員工資安管理
企業若忽略了員工資安管理,究竟會造成什麼樣的後果,我們來看看以下這些真實案例:
- 某影像圖庫公司的員工離職之後,因原任公司並未凍結或刪除其email帳號,使其仍可進入前公司的信箱讀取商務往來之郵件,導致前公司的業務遭受損失。
- 某手機週邊研發公司兩名離職的創業員工,共謀偷偷侵入該公司高階主管的電子郵件,竊取仍在研發中的相關機密檔案,並且唆使仍在職之妻子,利用職務之便協助盜取公務資料,所得的機密資料價值估計達一億兩千萬元。
- 某電信業者員工將客戶資料盜賣給不法集團,竟被拿來作為電話詐騙之用,造成無辜民眾受騙上當。
- 某教育單位員工將所承辦之業務機密資料帶回家處理,因個人電腦中含惡意程式,造成200名軍訓教官個人資料外洩。
- 某國防單位採購中心,因廠商招待相關負責人員喝花酒,竟私自將招標工程文件外流販售,使重要軍事設施資料外洩。
- 某電視購物業者疑內部員工將客戶資料外洩,導致詐騙集團利用此一資料對會員進行詐騙。
目前經由員工洩密的管道很多,像是電子郵件、即時通訊、隨身碟、網路P2P分享軟體等,在技術面方面,可透過權限控管、稽核側錄、內容管制、文件加密、上網行為管理等方式來處理。但是,許多時候員工其實是具有合法權限的,所以其不當行為往往具有更高的風險,此時就必須從管理面來著手,透過相關資安政策的制定以及教育訓練,讓員工了解資訊安全的重要性,也避免員工誤觸法網。
員工資安管理的注意事項
在財務方面,「管錢的不管帳」是避免個人舞弊的重要原則,對於資安方面也是很好的參考,要使責任分散以避免各項權限都集中在一人身上。另外,系統或網路管理人員在設定對於資訊的存取權限時,請務必遵循最小權限原則(Least Privilege),讓員工不會接觸到不符合其職等權限的資訊,以避免資訊外洩的可能。
至於人員招募與離職的問題,這部份或許跟IT人員比較無關,但是有許多的作業流程像是員工任用與離職都已Web化,因此也需要IT主管和HR人事單位來相互配合,關於這方面的注意事項,說明如下:
- 人員招募時的注意事項 - 若是職務涉及資訊安全或是敏感性的工作,應盡可能地去了解該人員的背景,例如詢問曾任職公司的HR部門或單位主管,也要確認該人員所提供的資料,像是離職證明與學歷資料是否屬實。
- 成為員工後的安全教育 - 員工被正式錄用後,依員工的職務等級,要進行相關的資安教育訓練,使員工明瞭公司的資安政策,並進行相關資安法令的宣導。正式員工須簽署同意遵守公司相關政策的規定,如網路、郵件、電話使用規範等,必要時還須簽署保密協定(NDA),同意即使在離職之後,不可對外洩露職務上所獲悉的商業機密。另外,員工若從較低職等升遷至較高職等時,需要HR部門進行人員的背景審核,並且告知該職等所需遵守的資安規範。
- 離職人員處理的安全步驟 - 從離職生效日開始,IT管理人員須將員工的帳號與資訊資產(如筆記型電腦)暫時凍結停用,待確認所有檔案權限都順利移轉之後,即將該員工帳號和權限刪除。在員工離職當天,要收回各項實體設施的存取權限,像是職別證、門禁卡、Token、文件櫃鑰匙等,也要公告離職員工名單,尤其務必告知櫃檯接待人員該員工已經離職,如果是善意離職的員工,應由主管陪同離開原辦公處所,若是不太友善或是遭到革職的員工,則建議由警衛人員護送離開。
讓資安意識成為企業文化的一環
人是企業最重要的資產,企業的基本態度應是相信每一位所招募的員工,但是從資安的角度而言,凡事預防勝於治療,為了維護資訊安全,持續的員工教育訓練與資安政策的要求,是確保員工不會誤觸法網或導致資料外洩的好辦法。
除了教育員工務必遵守公司的相關政策規定之外,在資安教育訓練過程中,要讓員工了解目前常見的作業疏失、環境威脅和惡意的資安事件有哪些,另外也要使員工明白事故回報的重要性與管道,以及懂得小心防範利用「社交工程」的偽裝詐騙手法。
所以,管理人員千萬切記,要確保資訊資產的安全,最重要的關鍵還是在於人的身上,因為無論採用多麼安全的設備與技術,只要忽視了人員的管理,員工缺少了資安意識,一切都是白費功夫,也會讓資安防護變得不堪一擊。(本文刊載於2008年1月號網管人雜誌)
沒有留言:
張貼留言