不少大中型公司制定了严密的信息安全规章制度,告知并让员工们签字认可对这些规章制度的遵守。为了让公司的信息安全政策获得落实,确保这些安全规章制度得以有效的执行,也有不少公司制定了信息安全事故处理流程,以及员工违反安全相关规定后的惩戒措施。
的确,总体上来讲,员工们并非学生,也非儿童,需要为自己的不安全行为负责,也只有员工们担负起了相关的安全责任,公司信息安全规章制度才能受到重视,企业安全管理水平才能获得提升。
不过,我们也不能简单的将所有的员工安全违规行为都进行惩戒,这是因为部分信息安全违规后果并非员工们的主观愿望。实际上,很少有员工希望公司出现严重信息安全事故,几乎没有员工希望惹上安全事故。举例来讲,如果员工不小心点击了钓鱼邮件中的链接或打开了含有恶意代码的附件,进而让公司内部网络受到病毒的袭击,他(她)是否应该受到惩罚呢?
惩罚还是不惩罚,这是一个问题。昆明亭长朗然科技有限公司的企业安全管理顾问James Dong建议说:除非对员工们有足够的信息安全行为激励措施,否则,必要的惩戒措施并不能少。同时,要注意的是惩戒也需要一个标准,一个度量。过重的惩戒容易引起员工们对信息安全的误解、恐慌、逃避甚至抵制,后果不仅会让信息安全管理工作陷入被动局面,更可能让消极态度影响员工们的生产力。过轻的惩戒引不起员工们对信息安全的重视,甚至会变相鼓励铤而走险的恶意违规和套利行为。
那该如何制定科学的信息安全违规行为惩戒标准呢?亭长朗然公司James称:这也需要就事论事,综合评测。如下几条是必须考虑的因素:
1.当事员工对信息安全违规行为的认知,如果是新进员工在根本没有信息安全保密概念,也未参加相关安全意识和规章的学习之前无意中犯下的信息安全错误,对其进行惩戒则会显得有些“唐突”和“冤枉”。
2.当事员工违反信息安全规章制度的意愿,是明知故犯,恶意为之;还是疏忽大意,意外犯规,这需要区别对待。毕竟这两种意愿代表着涉事员工是“好人”还是“坏人”。
3.当事员工违反信息安全规章制度后的态度,是积极主动承认错误,愿意参与补救行动帮助挽回或降低公司损失;还是不思悔改,死不认帐,甚至歪曲事实、毁灭证据、妨碍调查。这关系到此员工在未来的信息安全行为表现,所以应该占相当大的比重。
4.当事员工违反信息安全规章制度所造成的后果,按对公司带来的负面影响来进行适当的惩戒,是比较科学合理的准则。影响微小的没有造成什么危害的,以说服教育为主;对公司形象、信誉造成恶劣影响并带来重大经济损失的,则需要在公司范围内进行通报批评、降职降薪,解除劳动关系直至诉诸司法手段。
说到底,如果员工在不了解信息安全相关要求的情况下犯了错,不应该惩戒;如果是好员工但是并非主观意愿情况下犯了错,我们不能向好员工的积极行为泼水;如果员工在犯错后有正确的态度,我们应该给予改错的机会;如果员工的安全违规行为并没有造成严重的损失,我们也不要小题大作。
我们需要让员工们担负起自身的信息安全责任,但也不能让人们对信息安全变得恐慌,也不能让信息安全成为业务成功的羁绊。