清理办公桌政策Clean Desk Policy探讨

外资与合资企业在信息安全管理方面大多有清理办公桌政策Clean Desk Policy和桌面清洁检查Clear Desk Checking制度,主要的目的是要求员工们在离开位置的时候能够整理好重要的信息资产,进而保护信息安全不受侵害。

的确,员工的办公桌安全是公司整个信息安全体系中的重要组成部分,也是工作场所物理环境安全的关键控制点,还是落实信息保密制度的主要力量,更是终端安全管理技术解决方案的盲区。

通常情况下,公司提供办公桌及相关的设备如电脑、柜子、垃圾桶、打印机、碎纸机等等设备。公司的清理办公桌政策会要求员工在工作结束下班之时或中途离开位置前清理办公桌,将重要的信息资产和文档资料锁起来,将电脑屏幕锁起来,随身携带私人重要物品或将之锁到安全的地方,销毁不再需要的敏感文档或存储介质等等。

公司需要明确指示员工哪些是可以接受的,比如应该在离开位置前确认将笔记本电脑用Kensington锁了起来;哪些是不可以接受的,比如工卡被丢弃在桌子上,机密文档直接扔到了垃圾桶等等。

公司还需告诉员工应该如何做,比如简单培训Kensington锁的使用方法,强调工卡的正确佩戴方式以及要求员工通过碎纸机来销毁不再有用的机密文档等等。

公司还需要加强桌面安全检查,以确保清理办公桌政策得到了贯彻执行,由安全团队及上次检查未合格的员工组成检查小组,有助于强化安全意识教育。桌面安全检查小组可以在整个公司或关键部门范围内实施桌面安全大检查,对严重违反政策的员工实施警告、违规情形抄送经理甚至降低绩效等等惩罚措施,对严格遵循桌面清洁安全政策的员工给予精神奖励。如果员工不在座位上,建议通过相机拍下员工的违规记录,并且使用告示贴明确告诉员工哪些方面违反了桌面安全规定。

需要让员工了解清晰的检查标准,比如一张电脑随机程序驱动程序光盘被遗弃在桌面,与一张备份有公司重要内部文档资料的光盘被遗弃在桌面,就是两个不同性质的安全问题,前者只需受到教育甚至可以忽略不管,后者则可能要获得警告等不同程度的纪律处分。

安全管理负责人要同员工们以及安全检查团队沟通的事项实际上有更多,如果员工们适逢桌面安全检查便“四处逃窜”和躲避,安全管理负责人更应该反思加强安全沟通的必要性。

通过一些可视化的互动式桌面安全检查教程,安全培训团队可以利用虚拟化的办公桌清理场景,让员工“自助”进行安全检查,进而教育员工正确认识桌面安全清洁政策、具体的规范以及该如何做。

我们创作了多部的Clear Desk Check互动展示,尽管和实际上工作背景有些差异,违规项也不尽相同,但是仍然值得一看,我们建议在工作环境中组建和拍摄相关的违规场景来使教程更接近实际情况。如果您有此类安全意识培训软件、方案、项目或计划的需求,欢迎和我们联系共同探讨合作事宜。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

暴力恐怖与意外灾难事件致使不必要的安全等级升高

在任何时代,安全的生产、生活和教学环境对于人们来说很重要。如果基本的人身安全都得不到保障,再具有冒险开拓精神的商人们也无心专注于生产,百姓们居家过日子也得处处留心设防坏人,学生们则更根本无法专心学习必要的知识和技能以备未来之需。

我们看到不少组织机构开始强化安全保卫力量,增加保安人员数量和巡逻频率,增设访问控制、物理隔离措施以及监控录相设备,训练逃生和徒手擒拿技术等等。这都是不错的安全防卫手段,然而,要考虑到后期的长远运作才是关键,而不是一次性短期强化。

让大环境获得向好的改变不是一人之力,却离不开每个人的努力。昆明亭长朗然科技有限公司的安全观察员James Dong称:人们常说发挥“正能量”者是积极向上的,的确,在安全方面,我们需要让更多的人发挥出“正能量”。

如何让人们对待安全的态度变得积极起来呢?这本身是个沉重的话题,血淋淋的安全教训不少,灾难事后的反思、整改、松懈和遗忘向过山车运动一样此起彼伏,周而复始甚至愈演愈烈。这种现象的根源何在?亭长朗然公司James总结说,没有形成可重复性操作的、广为人们理解和接受的安全管理制度是关键。

资源是有限的,其实,事故之后的安全反思和安全检查运动的范围不可能也不需要尽可能地无限扩大,一个地方出现问题,让全行业全国范围紧绷神经的做法是不当的。

我们建议出现安全事故之后查找原因时也不需要投入太多的精力,牵扯到的无关的无辜的人员太多会让人们的后期反抗阻力也更大,还不如抓住重点核心问题形成可重复操作的安全流程,即能节省资源,又能防范未然,当然安全事故原因的调查也不能草草得出结论。

人的精力是有限的,天天让人们忙于学习安全生产相关的精神,没几天就要厌倦、拒绝和反抗了。在安全意识培养方面,我们无疑要讲究科学方法,不要一次塞的太多,但需要长期进行,比如在即将遗忘的时间点重新点燃一下,触动记忆和安全神经即可。

信息化对我们的生产、生活和学习的影响也越来越大,互联网信息安全成为国家元首的工作重点之一。无疑,要获得国家层面的信息安全良好业绩,国民信息安全知识和能力的提升是不可少的,搞安全意识培训,最怕短期的过犹不及,长期的熏陶才是关键,每周每月稍稍的提示活动最佳。

亭长朗然公司James表示:最简单的方法是每年初设定一个自动的安全意识教育内容发送计划,像电脑中的计划任务一样,每周向信息安全意识受众们自动发送少量趣味性内容,并利用小小的奖励措施来鼓励企业信息安全文化“正能量”。

每次输送给学员们的知识并不多,所以容易理解和吸收,还不会引起员工们的抵触,这样,一年积累下来,潜移默化的效果是人员的安全意识得到了强化,信息安全管理方面的作为和成绩也是清晰的可量化的。

成熟的安全心态是“处乱而不惊”,所以我们不要为一件偶发的暴力恐怖与意外灾难事件而兴师动众,搞得风声鹤唳,草木皆兵。不要期望一次性把安全防范措施搞得完备无缺,相反,应该有效配置有限的资源,建立长期的安全管理运行机制,并不断改进。