保护企业信息安全，我们都能做些什么？

2018-09-26 11:19 来源：特别供稿/知行cl 人评论

A-A+

原载于《现代物业·设施管理》2018年8期

“因企业信息泄露而造成损失的情况，80%的企业每天都在发生。”

乍一看，企业信息安全和行政部门没有什么关系。

为了使企业赢得更好的发展，保护企业信息安全是每一个员工的责任。对行政部门来说，作为公司财产、信息的守护者，几乎在每一个环节都设置了层层屏障以保护信息安全。从人手一台的电脑、各个楼层的打印机、进出大楼各部门的门禁系统、无处不在的WiFi网络……

俗话说得好：安全问题，重在防范。对此，一些大公司是怎么做的呢?有哪些可学习的方法和值得注意的地方?

访客管理

在对外信息安全上，访客是外部人员第一源头。

“当非公司成员的陌生人在没有公司同事陪同下，在公司办公区，尤其是财务、研发、机房等保密性质较高的区域随意走动，此时如何判断访客随意走动的动机?”这一现象应该引起足够的重视，并得到妥善管理。

在很多企业的访客管理流程中，会相应明确访客的活动范围、路径及行为规范，在访客预约时即会告知，同时，在来访后需由接待人员全程陪同及负责。

前台话术

“前台接待访客时，当访客询问企业敏感信息时，应对话术稍有不慎，有时可能给企业带来致命的舆论压力。”

前台除了接打电话会有相应的突发状况，一般情况下，还有全公司上下少则数十人，多则几百人的通讯录。员工通讯录的泄露，不仅会带来许多广告骚扰电话，与业务相关的时候，还有可能导致人员流失、业务部门泄密等。

针对这一场景，行政前台都有一条不成文的规则，即“内部人员的电话号码不能从前台嘴里传出去。除内部人员外，不随便转接进内线”。

企业内外网系统权限及风险

在企业信息安全中，内外网的系统权限及防攻击管理是由我们熟知的IT安全部门统一管理的。技术相关的信息安全远比行政人员接触的专业和艰深，是传说中“没有硝烟的战争”。

在这里，我们只需要关注和行政联系紧密的部分即可，比如：公司核心部门的电脑设备USB等设备是否经技术手段处理;员工密码安全意识;内部系统访问权限;如何给文件做加密处理;怎样限制或监管员工随意外发公司内部文件;将网络行为分组，根据不同组别的特性设置不同的行为规则(如服务器组、行政组、研发组等);定期审核行为日志等。

“让员工在企业中的线上行为都得到记录、监管”，这是保障企业信息安全的一种争议比较大的方式。如何平衡员工隐私是另一个维度的问题，但在保护信息安全方面这一做法对企业来说是非常有效的。

资产管理

每当出现员工状态变动，离职入职时回收电脑、遗留文件处理这些任务都会落在行政同学们的头上。

“员工离职后，电脑回收未进行技术清空处理便流转给下一任实习员工继续使用，电脑里如果有大量的企业核心业务数据将带来极大的隐患。”

在办公电脑回收与再发放这一环节中，行政成了承前启后处理关键机密文件的重要环节。一般情况下，办公电脑回收后再给到下一位使用者之前，里面所有文件都要由行政联合业务部门共同筛查，进行判断储存及删除清空处理。

而在电脑主机及服务器机房方面，行政一般还会采用易碎贴等方式封闭PC主机(成本低廉，可快速判断是否被拆卸)、办公主机和服务器，并定期巡查。

文印间打印区的打印机

打印机泄露机密信息材料这一场景相信是大家最熟悉的了，各大电视剧电影都已经给我们上过无数次课。

在这一环节上，我们的应对策略也是多到数不胜数，比如：将打印机与门禁卡联系起来，刷卡打印，做到有据可寻;不同部门的打印机分开使用，财务、CEO办公室等敏感部门的打印机单独配置;在打印区安装摄像头防止不法人员安装同步软件或读取信息软件;拒绝使用低值二次循环改装硒鼓，以防带来风险隐患……

在打印这一环节，最容易被泄露的是这一类信息：内部掌握的合同、协议、意向书及可行性报告、重要会议记录、财务预决算及各类财务报表、统计报表、员工人事档案、工资性及劳务性收入、资料……所以，我们在这部分的信息资料管理上一般也要做到文件留名、责任到人。

会议室

会议室作为企业运转、信息互通有无、团队讨论不可缺少的一环，在信息安全上也容易出现一些小问题。