员工安全职责

在后PC时代，信息数据的安全越来越受到重视，同时也需要暂新的安全理念。一家在线安全公司称，数据安全问题的原因多来自员工们对安全的忽视。

的确，员工们对信息安全的冷漠和无知，甚至故意破坏是多数信息数据安全事故的根本原因。但是谁应该为数据安全的保护负责呢？昆明亭长朗然科技有限公司的一项调查表明：近半数的受访者认为保护公司数据安全是安全是IT部门的责任。

如果这个认识是正确的话，看来如果有不满意的内部员工故意砸乱了电脑屏幕，IT也需要为此埋单了。

好在有四分之一认为是管理层的职责，要说终极的安全责任，管理层肯定难逃，不过显然让管理层为下属的安全无知或鲁莽行为承担全部责任也不恰当。

剩下的四分之一认为是全体员工的职责，的确，从安全管理的专业角度来看，这些受访者的认知才是正确的。保护信息数据的安全，组织需要让员工们了解到在保护整个公司的数据安全方面，每个人所应担负的安全职责。

有员工可能会称他们不具备防范黑客的本领，这些需要IT安全专家能力。的确，防范外部的安全攻击需要专业的安全能力，同时内部由于员工的“大意或愚蠢”而造成的安全事故往往代价更高、更为复杂，也需要更多资源来解决。

很多公司都在实施数据丢失防范方案，这其中，最重要的应该是提升人员的信息数据安全保护意识。如何让全体员工及新入职员工了解到自己的信息安全职责呢？一个有效的方法是通过信息安全意识教育来实现，如下分享一部信息安全岗前培训课件，供参考。

消费型电子设备热卖，功能强大而且携带方便，进而使不少员工开始将自己的计算设备用于工作，即所谓Bring Your Own Device，简称BYOD。BYOD往往会从企业高层和IT部门开始，安全管理方面稍一松懈，便会呈现破竹之势，迅速在公司范围之内普及。

BYOD无法阻拦，但是安全问题会随之而来，在准入控制方面，把BYOD划分在企业外网不失为一种有效的安全域规划战略。一方面，公司的内网可以得到有效的保护，另一方面，又为员工提供使用网络资源的便利。但是随着BYOD越来越多，并且所需连接的资源也越来越多之时，内外网便会逐渐模糊起来，只对用户的虚拟身份进行验证，而忽略终端设备是大的接入控管趋势，公司所需严格保护的似乎只剩下核心的信息系统了。

问题可能不会这么简单，IT企图放弃终端安全的想法任何时候都是很危险的，终端用户并非IT安全方面的高手，人心如水，水能载舟，亦能覆舟，公司信息安全管理层需要认真对待BYOD。

那么，从何做起呢？从资产属性上讲，BYOD属于员工，而用于工作，本身就是公私不够分明的情形，从公司层面来讲，也难以有适当的理由来实施有效的安全控管。简单地问一问：谁将为BYOD的安全负责？昆明亭长朗然科技有限公司进行的一项移动安全调查表明：近半数受访者认为员工自己应该为BYOD的安全问题负责，有四分之一的受访者认为公司（或雇主）应该负责。

简单举例来讲，存储着工作数据的终端设备丢失了，由谁负责？公司要给员工设备相关的赔偿吗？员工要为公司数据的泄露负责吗？显然这是些复杂的容易扯皮的问题，从这个角度来看，似乎双方都有不可推卸的职责。

安全意识博客

我心安全，我行安全！

您的信息安全职责

自带计算设备BYOD的安全职责探讨