现状描绘口号很丰满,执行很骨感；制度很完备,结局很悲.PDF

第二节：信息安全 之 人力资源 1 、组织架构 现状描绘：口号很丰满，执行很骨感；制度很完备，结局很悲催。 必要的投入，这是信息安全的基础。如果贵公司人员也不愿意配、钱也不乐意出。那么就另当 别论了。 您可以先考虑一下： 信息安全谁负责？谁主导？ 信息安全的制度谁制定、落实、监督？ 答案可能是： 信息安全的各个环节和因素应该分配到内部各个职能部门中。 入职调查、工资组成（保密津贴）等由谁完成？ 产品宣传 （网站、展会）由谁完成？ 文档权限、打印、邮件、归档、网络管控、应用系统服务、代码、图档、BOM ？ 明确监管责任部门，普遍的现象，责任很明确，权责不清晰。给你天大的责任，屁大的权限。 最好是屁都不要放啦。 平时修修电脑、拔拔网线，业务部门提什么需求就要无条件满足。美其名曰：IT 服务于业 务，仅仅是一个服务者，咸鱼 时翻身呢？ 这些背黑锅的责任部门没有任何否决权？最后所谓的信息安全都是空谈。 （不好意思，我把日常工作简单化了，可能还有更多技术含量高的事情在做。） 可能的对策： a 、部门权责对等？ b 、关键节点统一管理？ （如 涉密资料统一管控、网络、邮件、外发、打印等等集中管控） c、违反原则、底线 坚持说 “不”？ （没有这个权限和勇气？赶快打道回府吧！） 组织结构就保密了。 Review: 对于信息安全来说，必提ISO 27000、《等保》，一定会有风险管控（风险分析、差距测评）、体系建设等等。 《信息系统安全等级保护基本要求》等系列文档 是中国国家推荐标准。 ISO 27001 共有133 个控制点，39 个控制措施，11 个控制域。其中11 个控制域包含如下： 1)安全策 、2)信息安全的组织、3)资产管理、4)人力资源安全、5)物理和环境安全、6)通信和操作管理、 7)访问控制、8)系统采集、开发和维护、9)信息安全事故管理、10)业务连续性管理、11)符合性 如果您要冒充牛XX 的人，也可以随随便便说一说。 2 、 人员安全 很多人认为 人员如 安全？跟 信息安全没有必然的联系？入职后才会涉及到安全层面 的考虑。 抛出如下问题： a 、此员工存在劳动纠纷或者争议？ b 、此员工与前公司有保密协议、竞业限制协议？ c、特殊岗位的约束文本、背景调查？ 那么如 保证 此员工 之前的纠纷不轻易带入新的公司呢？最大限度的保护公司的信息 安全呢？ 此刻让我想起：消防安全工作以预防为主、防消结合。在企业中我们 尝不是扮演消防 员的角色？ 不好意思，这些都需要白纸黑字留存归档的。作用是什么？ 您懂的：害人之心不可有，防人之心不可无。 新员工入职承诺书 某岗位承诺书 （部分内容截取） 保密协议 （部分内容截取） 制度－保密管理制度 （如下为摘录部分章节） 3、意识培养 安全重要，意识先行。如 培训。采用什么途径、方式、方法？可谓八仙过海各显神通。 如何把这种安全意识变成行为性习惯？ 如： 制度、培训层面： a 、入职培训(制度的说明、解释、过往案例的介绍) 技术层面： a 、宣传 （统一修改桌面提示信息、网站宣传、开机登录提示、FLASH 宣传等等） Review: 关于技术管理层面的配合措施，后续会有专门篇幅进行说明。