清理办公桌政策Clean Desk Policy探讨

外资与合资企业在信息安全管理方面大多有清理办公桌政策Clean Desk Policy和桌面清洁检查Clear Desk Checking制度,主要的目的是要求员工们在离开位置的时候能够整理好重要的信息资产,进而保护信息安全不受侵害。

的确,员工的办公桌安全是公司整个信息安全体系中的重要组成部分,也是工作场所物理环境安全的关键控制点,还是落实信息保密制度的主要力量,更是终端安全管理技术解决方案的盲区。

通常情况下,公司提供办公桌及相关的设备如电脑、柜子、垃圾桶、打印机、碎纸机等等设备。公司的清理办公桌政策会要求员工在工作结束下班之时或中途离开位置前清理办公桌,将重要的信息资产和文档资料锁起来,将电脑屏幕锁起来,随身携带私人重要物品或将之锁到安全的地方,销毁不再需要的敏感文档或存储介质等等。

公司需要明确指示员工哪些是可以接受的,比如应该在离开位置前确认将笔记本电脑用Kensington锁了起来;哪些是不可以接受的,比如工卡被丢弃在桌子上,机密文档直接扔到了垃圾桶等等。

公司还需告诉员工应该如何做,比如简单培训Kensington锁的使用方法,强调工卡的正确佩戴方式以及要求员工通过碎纸机来销毁不再有用的机密文档等等。

公司还需要加强桌面安全检查,以确保清理办公桌政策得到了贯彻执行,由安全团队及上次检查未合格的员工组成检查小组,有助于强化安全意识教育。桌面安全检查小组可以在整个公司或关键部门范围内实施桌面安全大检查,对严重违反政策的员工实施警告、违规情形抄送经理甚至降低绩效等等惩罚措施,对严格遵循桌面清洁安全政策的员工给予精神奖励。如果员工不在坐位止,建议通过相机拍下员工的违规记录,并且使用告示贴明确告诉员工哪些方面违反了桌面安全规定。

需要让员工了解清晰的检查标准,比如一张电脑随机程序驱动程序光盘被遗弃在桌面,与一张备份有公司重要内部文档资料的光盘被遗弃在桌面,就是两个不同性质的安全问题,前者只需受到教育甚至可以忽略不管,后者则可能要获得警告等不同程度的纪律处分。

安全管理负责人要同员工们以及安全检查团队沟通的事项实际上有更多,如果员工们适逢桌面安全检查便“四处逃窜”和躲避,安全管理负责人更应该反思加强安全沟通的必要性。

通过一些可视化的互动式桌面安全检查教程,安全培训团队可以利用虚拟化的办公桌清理场景,让员工“自助”进行安全检查,进而教育员工正确认识桌面安全清洁政策、具体的规范以及该如何做。

我们创作了多部的Clear Desk Check互动展示,尽管和实际上工作背景有些差异,违规项也不尽相同,但是仍然值得一看,我们建议在工作环境中组建和拍摄相关的违规场景来使教程更接近实际情况。如果您有此类安全意识培训软件、方案、项目或计划的需求,欢迎和我们联系共同探讨合作事宜。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

小心躲开“免费”的企业版安全软件

惊闻360免费企业版已经有20多万家客户金山的2012企业版防病毒软件也已经全面免费,对这两家公司的义举表示赞扬,毕竟,企业终端安全软件往往价格不菲,而多数中小企业IT安全资金投入很有限,安全问题严重阻止了中小企业信息化的发展步伐。

不过,在对这场免费活动的赞扬和感激之余,我们不免有些担心,俗话说“天下没有免费的馅饼”,这些免费活动提供商真的个个都是学习雷锋的好榜样吗?免费幌子的背后是不是有什么不可告人的企图?

显然不可能有完全免费的大餐等着中小企业,毕竟这等“美事”一眼看来不合乎社会常情和经济学规律,这时,就需要加强警惕了。

要警惕什么呢?相信不少人都碰到过街头骗子,骗子们的伎俩往往都是让人们感到占了便宜,低价抢购、最后一天、亏本大出血……

我们不是说便宜无好货,也不是说商家的促销都是骗局,更不是否定上述两家的安全产品的功效,尽管市面上有不少假冒的防病毒软件。实际上,在国内外的不少防病毒安全产品的评测中,这两家的产品都是榜上有名,甚至业界领先。

既然是好产品,还要警惕什么呢?不错的问题,大陆人到了港澳后,往往会得到坐豪华游轮到公海免费赌博的机会,本来就有意向或无兴趣的人可能都愿意去尝试一把,反正不花什么钱,还能免费旅游,多美的事儿,再去问问港澳地区的本地常住居民,他们会说的确是这样,可是他们自己却并不愿意去,为什么呢?让我们结合免费的企业版终端安全产品谈一谈。

1.浪费时间,免费是真的,可是免费满足不了需求,遏制需求,不花钱继续买吧,就这么折腾着,想想安装些软件、不满意再卸载不都需要不少功夫吗?时间就是生产力,在这些时间内企业员工本身可以创造更多的价值,却被这个免费的噱头给耽误了。

2.占小便宜吃大亏,就是不花钱,免费的东西给一点用一点,可以啊,不过您刚发现病毒,正要杀的时候,它来给洗个脑,弹出个诱人的广告,不点广告不给杀毒,唉,忍一忍吧,最终买了广告后方知吃了大亏。

3.丢了隐私,使用杀毒软件,要更新吧?要病毒报告吧?软件有问题要反馈吧?不明病毒要提交吧?在双方都明了,都同意的情况下这些都是正常而合适的,问题在于免费是有附加条件的,没仔细看软件的使用条款吧?被偷了客户通讯录和电脑密码,搜索引擎告诉你是谁偷走的,找到这个小偷,正想斥责他监守自盗时,小偷说:免费的,不负责,还说谁让你家开着门,同意他可以来偷呢!你这叫活该。

那就不能用这些免费的企业版安全软件吗?也不是,中小企业打拼不易,再说谁不想能省则省呢?既然这些免费产品也不太差,当然可以当作一个选择了。

问题在于选择上,曾经闹过一大堆丑闻,特别是有坑蒙拐骗劣迹的,您敢指望它变得可靠吗?狗改不了吃屎,还是离远点儿了好。下面我们给您分离几点注意事项:

1.简单评估风险,免费的往往不负责,所以别指望厂家来帮您免费安装系统和提供培训,杀不出病毒,还让系统崩溃了,您就自己承担着。

2.选择之前,看好协议,也就是使用条款,含糊其辞的让人不放心,有霸王条款的,还是走远点。

3.如果自己没有足够的鉴别实力,找个懂行的安全专家帮忙挑选,日后安全终端软件上的运营维护也好有个顾问和帮手。

4.加强终端安全操作技能培训,提升员工的安全意识,免费软件意味着厂家不帮忙,您得像吃自助餐,凡事自己动手,加强安全技能培训让员工也能自己帮助自己。

最后,要知道:搞企业,不是过家家,企业终端安全,个人版家庭版的那套可能不适用。免费有免费的道理,并非完全不靠谱,不过羊毛出在羊身上,真的想用,也不是不可能,只是您得小心点儿。