确保“人员安全”人力资源专员的九招必备武功

近来,备受业界关注的数据安全泄露事件再次突显了企业信息系统的持续脆弱性。不过,与以往不同的也引起人们注意的是,员工通常沦为复杂的网络钓鱼邮件和其他诈骗攻击的“帮凶”,进而帮助攻击者成功实施对其雇主的信息系统的网络攻击,或者为其他攻击“贡献”力量。对此,昆明亭长朗然科技有限公司企业安全服务专员董志军表示:在越来越复杂的高级可持续性威胁中,攻击者擅于利用员工为“踏板”进行长期“潜伏”,进而让终端的用户(职员)扮演着成功入侵的关键要素。在这种态势下,仅靠技术修复只能减少部分数据泄露的风险。因此,人力资源专业人员和安全意识专业顾问就需要在降低安全风险、使组织免于成为下一个受害者方面发挥关键作用。

下面我们列出了组织机构应考虑采取的确保“人员安全”的九条最佳实践建议,以助力组织加强对敏感信息的安全保障。

  • 职业背景调查。要避免那些有“前科”的、干出“删库后跑路”危险动作的不法分子混入工作队伍,前提动画是对需要访问敏感信息或信息系统管理特权的求职者、临时工和承包商,应在开始工作之前进行彻底的背景调查,并在其后定期进行可信度的评估。
  • 保密协议签署。要求所有有权访问敏感信息的员工们签署一项保密协议,该协议不仅要求保护敏感信息,还要求雇员对保护雇主的敏感和机密信息而必须采取的措施。
  • 职业道德培训。很多安全方面的违规行为并非孤立存在的,往往同时也会违反其他规定,比如外发内部甚至机密信息造成数据泄露的行为,同时必定违反基本的职场专业行为规范。很多腐败行为也会伴随着内幕信息的违规交易或“泄露”而发生。不断进行职业道德与行为规范方面的宣教培训,通过这种内在的、非强制性的约束机制,来强调安全合规性与数据保护职责。
  • 安全意识培训。对所有新入职员工进行信息安全意识培训,并对全体员工提供定期的安全意识提醒。为有权访问敏感信息的员工们提供额外的安全意识培训。
  • 强健密码意识。要求员工们使用强密码(比如至少8个字符,包括大小写字母、数字、符号的混合),禁止员工与任何人(包括IT部门、主管)分享密码。
  • 安全事件响应意识。所有的培训都应包括有关哪些事件构成安全事件以及如何在内部报告安全事件的信息,以便员工们能及时发现安全异常并立即报告,进而连成一道全员安全“人力防火墙”。
  • 识别网络钓鱼和电信诈骗。安全意识还应包括有关如何识别和报告网络钓鱼和电信诈骗的信息。员工们通常可能会通过单击链接或打开附件来激活如勒索软件等恶意软件。通常,他们会被钓鱼网站诱骗提供网络登录凭据。鉴于各种骗局的普遍性和严重后果,资方应考虑向员工们发送虚假的网络钓鱼邮件,通过模拟测试,并为落入该“骗局”的员工们提供更多安全意识教育。
  • 需要知道和最低限度原则。确保员工们只能在“需要知道”的基础上访问敏感数据,并将授权访问限制为履行工作职责所需的最低限度。当工作职责发生变化时,应及时修改访问权限,并在雇佣关系终止后立即终止访问权限。
  • 做好安全事件的应对准备。即使实施了强大的安全防护措施,仍然不可完全避免安全事件的发生。自然而然地,许多事件将被报告给人力资源专业人士或安全意识专业顾问,因此应该制定应对这些“非IT”安全事件的计划。该计划包含强化必要的管控措施,比如改进上述的培训工作等等。

需要补充的是,各家组织机构可能会有不同的职责分工,这九条最佳实践建议可能并非完全落入人力资源部门、信息安全部门或特定工作岗位,尽管如此,增长这方面的知识对于增强跨部门工作的理解互动和协同配合非常有帮助。

希望这些建议能够给人力资源专员一些启发和帮助,如果您对本文的观点有独到的看法,请不要客气地联系我们,一起分享一起进步。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

用户信息保护越来越受到重视

近年来,特别是移动计算时代的到来,针对百姓生活的移动应用越来越普及,针对个人信息的非法采集、存储、传输、处置等行为越来越多,对公民的个人隐私和数字生活甚至线下生活都带来了严重的影响。非法的信息买卖导致大量恶意的营销,甚至针对性的诈骗,让老百姓以及重要人士都苦不堪言。国家的力量在此时便显出出来,各种针对个人信息保护相关的法律法规陆续出台,公安网监也加大了个人信息违法行为的打击和整治力度,从源头上遏制非法交易,抓典型杀鸡儆猴,多管齐下,终于让天下较为太平。然而不法分子总是不法,他们不认真学习和研究法的精神,反倒肆意钻研和利用法的空子,最终造成一波一拨的恶果,再让国家出手搞出一波一拨的对应整治动作。

一直以来,中国的行业标准往往都不被业界重视,即使上升到法律法规层面,也会落到一个有法不依,执法不严的局面。昆明亭长朗然科技有限公司的互联网行业观察员James Dong提出自己的见解:除了特大城市在法规遵循方面较为领先之外,许多行业标准并不为从业人员所知晓。

不过,互联网行业有些特殊,亭长朗然James解释了其中的原因:一方面互联网是新经济的代表,国家已经有多项关于用户信息保护相关的监管法规;另一方面,互联网广告行业竞争异常激烈,忽视用户权益的行为很容易被竞争对手发现甚至恶意利用。

说到互联网广告,这个市场规模庞大到人们无法想象,当然鱼龙混杂是难免的,层出不穷的纠纷折腾着广告公司、广告主和用户。在确保用户信息安全的基础上应用互联网数据,使数据创造的商业价值服务于用户,是每个互联网从业者的责任和使命。

以网络安全法、民法典为代表的高阶法律制定委员会充分认识到提高从业者的职业道德水准和个人素质,教育用户增强保护自己个人信息的意识的至关重要性,并且将其确立为基本原则。的确,抓住事情的根本才能有效控制事态的变化和进展。

说到提高从业者的职业道德水准和个人素质,无疑需要强化职业操守培训和强化合规行为监管,培训和监管无疑需要内部和外部的力量同时进行,内部培训往往和工作岗位相关,所以最好以部门为单位,在部门会议期间进行。

针对全员的普及性培训则可以大规模进行,通过规模集约效应来降低培训成本和获取更佳的培训绩效。昆明亭长朗然科技有限公司长期致力于互联网信息安全意识教育,已经帮助数百万企业员工提升了信息安全意识。在互联网从业人员培训方面,也有出台用户个人信息及隐私保护开放课程,无疑是互联网广告行业业者进行全员培训的最佳合作伙伴。

保障用户信息安全是互联网广告市场繁荣发展的基础,每个行业成员都应该积极行动起来,学习用户信息保护相关的理念和方法,并在实际工作中努力实践。

昆明亭长朗然科技有限公司创作了大量的合规、安全与保密相关培训及宣教课程内容,欢迎有兴趣的读者联系我们,预览我们的作品。我们为企业、政府、金融、医疗、电信、能源等等行业提供信息安全意识课程。我们为全球财富500强企业以及一些非常知名的品牌提供安全意识课程创作服务。欢迎有相关需求的客户联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898