26、保密协议——无论作用大小,和员工签定清晰的保密协议还是必要的 无规矩不成方圆,明确什么是对的,人们才可以杜绝错的。保密协议的内容越详细越好,如果对方心胸坦白,自然会欣然同意。
27、责任分解——明确每个人对相关信息的安全责任 所有的机密文件如果出现泄露,可以根据规定找到责任人,追究是次要的,相互监督和防范才是责任分解的最终目的。
28、设立信息级别——对公司的机密文件进行级别划分 比如合同、客户交往、股东情况列为一级,确定机密传播的范围,让所有人了解信息的传播界限,避免因为对信息的不了解而导致的信息安全事故。
29、异地保存——别把鸡蛋放在同一个篮子里 所有备份资料尽量做到异地保存,避免因为重大事故(如:火灾、地震、战争等)对企业信息带来致命的打击。
30、认为自己的企业在信息安全上无懈可击。
也许你会认为,9.11这种事情离自己太过遥远,发生的几率为0.1%。可是9.11之前,谁又能想到世界性标志建筑世贸大厦竟然在瞬间被毁灭;9.11使美国许多企业遭受重创,同样,纽约大停电也给美国经济造成300亿美元的损失。
纽约大停电启示录 从《商业周刊》看保护信息安全
美国时间2003年8月14日下午四点,北美大部分地区突然停电。谁也没有料到这一停就是20多个小时,而8月15日恰好是麦格劳希尔公司旗下《商业周刊》的出版日—— 麦格劳希尔公司全球首席信息官Mostafa Mehrabani讲述了他们纽约大停电时的亲身经历。 “当时情况非常紧急,许多人不断询问公司的业务情况,而且第二天《商业周刊》能否正常出版更是得到人们的普遍关注。而实际上,在停电瞬间,我们已经把出版业务全部转移到新泽西州,因为在那我们有一套备用设备。”
“我们的电力系统很稳定,备用发电机可以在没有电的情况下持续工作好几天,所以我们的出版工作没有受到任何影响。第二天,《商业周刊》如期出版。” 麦格劳希尔公司作为信息服务提供商,保护信息安全成为头等重要之事。
中国很多企业尚没有这种意识
对于中小企业来说,出于成本考虑建立一个数据备份中心并不是最恰当的解决方案,但在离自己电脑一段距离的地方做一个数据备份,花费的成本几乎为零,而许多企业尚没有这种意识,直到一场意外的雷击摧毁了公司CEO的电脑为止。
对于企业来讲,那些即将离职的员工是极度危险的
因为不论出于什么原因,他们都希望能够为自己以后的工作获取必要的资源。 "实际上,离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯,当然这些资料只是方便以后工作,而不是直接用来出售。"一位离职员工很坦然的说。 "我们的雇员可以在下班之后申请加班两小时,两小时后他们会去刷门卡,让电脑系统显示此人已经离开。但是实际上,员工却可以通过通向卫生间的那道不锁的门出入公司,而不留下在公司超时逗留的证据。于是,他们会以最快的速度从同事的电脑上找到自己所需要的资料,就可大大方方的带走了。"这位离职员工毫不避讳的讲到。
有些员工为了在应聘时博得新雇主的喜爱,总是很积极的回答雇主的每一个问题,而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。
微软、西门子等公司查看资料会被严格记录
微软、西门子等公司则是从硬件设备上防止员工拷贝公司资料,因为根据级别区分,他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外,IBM公司规定每个员工只有三次查阅同一文档的机会,并且这三次查看的时间,地点,原因都会被严格的记录下来。
在硬性规定上围追堵截员工的犯罪行为 可口可乐如何做?
2003年8月,可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前,可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议,要求合作伙伴不可以透露任何有关新包装的事宜。与此同时,制罐厂也采取了严格的防泄密措施。"空罐被黑色胶布封起来,制罐厂24小时都有专人把守,只有30名工人加班参与生产;在运输时,空罐被放在了上锁的全密封货柜车内,拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密。"可口可乐驻北京对外事务部负责人翟梅说。
请克制\"大嘴巴\"雇员的说话欲望 神州数码深刻教训
企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量,因为毕竟他们所掌握的信息比普通雇员要多许多。2004年2月18日上午,某媒体披露了神州数码财报中的部分数据。但是按照证监会规定,有关财报的所有资料都必须等到19号也就是媒体披露的第二天才能公开。未经国家相关部门审查提前披露公司财报是违法的。这家媒体之所以获得了这些数据,是神州数码某高层在接受记者采访时无意说出来的。 当然,普通员工的口风也是公司应该注意的。他们在参加各种会议和贸易展览时,总是很乐意吹嘘自己如何克服技术困难,却因此泄漏了机密的信息。
敌人随时都瞄准你的任何一个漏洞
麦当劳门店内的垃圾是宝?
几年前,一家著名的市场调查公司调查麦当劳的产品销售量,他们使用了痕迹调查方法,收集了当天麦当劳所有的垃圾,雇用了许多零时工从麦当劳店内收集垃圾,包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量,并且推算出卖当劳下一年的销售计划。在这之后,麦当劳门店内的垃圾都要经过自己的处理后才运走。
雅芳雇佣私人侦探收集玫琳凯丢弃物
同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物,并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说,她无法夺回这些珍贵的东西,因为雅芳只是研究了她的垃圾而已,这是完全合法的。
“实际上,现在的中国企业在技术上与国外已经趋于同步,无论是防火墙,还是病毒软件,还是VPN技术早已经与国际接轨。”安氏(isone)CTO陈政说。但是,中国企业在保卫公司信息安全方面总是显得如此单薄,漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。
从管理的角度来讲,要让员工树立起保卫公司安全的意识
某软件公司80年代末期编写的软件程序磁带占用了仓库大量的空间,公司所有的年轻员工都主张卖掉这批已经没有什么参考价值的资料,但遭到了一位曾参加编写的工程师的竭力反对,而他的理由很简单却也很重要:"这些东西对大部分人来说没有参考价值,但是一旦被卖到国外,就非常危险。"所以,从管理的角度来讲,首先就是要让员工树立起保卫公司安全的意识。 当然,员工的办公安全也是企业应该考虑到的问题。因为大部分治安严谨的小区都有自己的网络监控和电话监控系统。
诺基亚:用严格的规定来保证攻击者无懈可击
如果竞争对手在小区内对企业员工进行监控,他们可以轻而易举的获取相关资料。对于这一点,诺基亚的解决方案很实用:
"我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码,而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网。"诺基亚中国区企业解决方案部王磊说。 所以对于企业的领导者来说,要减少外部攻击对企业造成的损伤,除了要花大笔的费用引进技术外,还必须用严格的规定来保证攻击者无懈可击。
国防科工委:苍蝇不叮无缝的蛋
国防科工委网络要求内外网络严格隔离,因为他们要保护的是红头文件,但是限制几千人联网的权力是一件非常吃力的事情。于是,国防科工委的院长亲自带队查处。他们严格监控自己的外网出口,一旦发现内网有人通过外网出口传输文件,就会马上跟踪IP地址,而等待这个员工的将是严厉的处罚。
来源:中科软件园