企业人员信息安全管理

王 雷

（江苏国瑞信安科技有限公司，江苏南京 210009）

0 引言

信息安全是指信息数据的保密性、完整性、可用性的保持。随着企业发展信息化程度不断提高，企业在发展中的信息安全越来越重要。规模企业已经把信息安全工作列为工作重点，但企业信息安全工作大部分是购买或安装部署信息安全设备。企业通过一些信息安全设备，在部分地方起到了一定的作用，但信息安全保障的本质并没有提高太多。

1 信息安全事件回顾

2013年可谓是全球的信息安全年，也是中国的信息安全年，信息安全事件大量出现。一系列信息泄密事件，已经引起一场场轩然大波。人们刚迎来2013年不久，数据泄露事件又接连不断：香港八达通卡泄密、富士通ipad2后壳设计图泄密、RSA公司SecurID技术及客户资料被窃取和索尼公司的PlayStation用户数据外泄等，再后来又是“棱镜门”事件、搜狗和腾讯的用户信息泄漏事件、多家连锁酒店的客户开房信息泄漏事件，这样触目惊心的消息让我们再也无法忽视信息安全的重要性。这些信息安全事件已明显对用户的个人信息安全、生活习惯等方面造成了重大的影响。

中国互联网信息中心2013年中国网民的信息安全状况调查报告显示，在过去的一年中，中国网民个人信息泄漏和账号密码被盗的发生比例分别为13.4%和8.9%。虽然表面上看起来比例不大，但此类事件发生后给用户带来的损失非常大，不容忽视。2013年中国网民遇到的各种安全问题的整体发生率如图1所示。

与2012年相比，2013年个人信息泄漏的比例有大幅的上升。从上图也可看出，虽然个人信息泄漏被作为一个单独项进行统计，但排在前三位的安全事件也是由个人信息的泄漏造成的。所以，综合来看，个人的信息泄漏事件不容小觑。在这些事件的背后我们看到的是人员信息安全意识的缺失，企业信息安全管理的不足。为了帮助企业和个人提高信息安全意识水平，2012年底某IT企业发布了《2012年度中国企业员工信息安全意识调查报告》，经过对被调查企业的管理层人员及普通员工的大量数据分析和统计，参与本次接受调查访问者的信息安全意识评价平均得分为77.48分。其中，受访者在移动存储介质安全方面的得分最高，为96.1分；在社会工程学信息安全方面的得分最低，为49.6分。因此，中国企业的信息安全意识依然有较大的提升空间。

很多企业为保障企业数据信息安全，不惜花巨资投资购进防火墙、入侵检测、防病毒等网络安全产品。然而，企业内的安全事件远比管理者的预想更为复杂、更为宽泛，人员的误操作或无作为也会使这些工具失去其应有的作用。只有提高人员的安全意识和技能，才能真正使企业的信息安全设备发挥应有的作用。

2 目前企业人员的信息安全管理主要存在的问题

（1）全体工作人员的信息安全意识不高；

（2）信息安全专业人员数量较少，工作流程不清晰；

（3）信息安全岗位职责划分模糊；

（4）管理层不重视；

（5）信息安全管理工作缺乏有效的考核和监管机制。

上述几个问题看似不会影响正常的企业运作，但长期持续则会给企业的信息安全带来巨大的隐患，存在较高的风险。

有调查显示，企业的信息泄漏事件70%-80%都由内部人员造成。对于一些关系国计民生的企业，如电力、通信等，企业的信息一旦泄漏，将会产生巨大的社会影响，同时也会给企业造成巨大的损失。但是我们仍然可以通过对知悉或掌握企业核心涉密资产和数据的人员加强信息安全管理与监督，来提高信息安全整体水平。

图1 2013年中国网民遇到的各种安全问题的整体发生率

3 加强人员信息安全管理的具体措施

对于企业人员的安全管理措施有很多，国内外的相关标准中都有相应的描述，如《萨班斯法案》《信息安全技术信息系统安全管理要求》ISO27000系列等，不同的标准要求亦有不同，但总体来说不外乎以下几点。

（1）加强人员的信息安全保密意识与责任。任何企业的信息安全与保密都离不开人，信息安全每个步骤的操作与执行都是由人来完成与实现的。如果企业内相关人员的信息安全与保密意识薄弱，不小心造成某些敏感信息泄露，则比其他安全不足问题导致的损失更大。因此必须要不断对相关岗位人员的信息安全意识、责任和职业道德进行培训、指导与监督。

（2）管理层重视。企业人员的信息安全管理是管理层的职责，所有的措施和方法都需要得到管理层的支持才能实施，否则再完美的方法也是毫无意义的。随着各类信息安全事件的曝光，信息泄漏事件的频发，特别是国家推行信息系统的等级保护政策以后，越来越多的管理层开始重视信息安全问题。

（3）明确本单位的核心信息安全资产。我们要对企业的核心信息安全资产加强保护，即主要是对企业内部最核心的信息资产进行有效的保护，这对企业的信息安全尤为重要且非常有效。任何一个企业的资源都有限，信息安全工作相对于业务工作的投入来说一定较小一些，因此对核心的信息资产保护才是企业真正关心的内容和工作。核心信息资产主要指价值比较高，一旦泄露可能会对企业造成比较大损失的资产，如企业的重要或敏感数据、存有重要敏感数据的纸质和电子类的载体等企业的核心资产。明确核心资产信息安全也是对人员进行职责划分的基础。

（4）清楚划分人员职责，严格进行权限分离。人员职责和权限对应组织的信息资产，一定程度上也决定了该人员在组织中的安全地位，职责不明确往往导致人员的无作为或误操作，很多的信息安全隐患无法消除。如果明确了单位的核心资产，而人员的职责划分不清晰，那也等于是无用功。很多单位由于信息安全人员数量有限，存在一人多岗的情况，很多核心的敏感的信息或功能掌握在一个人的手中，这就使得某个人或某几个人的权限过大，导致内部舞弊的风险增加。因此，首先要明确本单位需要设置的信息技术类岗位，并设置相应的人员，确保人员的配备遵循三权分离的原则，敏感的功能或较高的权限不能放在一个人手上，关键性的操作甚至需要多人同时在场，只有这样才能最大限度地避免人员的内部舞弊。

（5）严格选拔新进人员，考核在岗人员，审查离岗人员。选拔人员是人员信息安全管理的第一步，对人员进行严格的背景审查和技能考核是保障企业信息安全人员执业技能和职业道德的重要措施。重要敏感岗位的人员应尽量从内部进行选拔，避免直接任用外聘的人员；对于在岗的信息安全人员应定期进行考核和检查，保证所有的工作都按正常的操作规程执行，避免简化流程的事情发生；对于离岗的人员应与之签订相关的协议说明，并立即更换其所掌握的关键认证信息，避免由于人员的流失导致信息的泄漏。

（6）建立信息安全管理工作的日常监管和考核机制。信息安全管理执行的主体是人，人的操作难免会有失误或不当的地方，这些都是信息安全的风险隐患。所以应对人员的日常工作需建立考核和监管机制，对人员的日常安全管理工作进行监督并提前发现潜在风险，及时消除隐患，降低由于人员操作不当或恶意操作带来的信息安全风险。

4 结语

企业信息安全是技术安全和管理安全相互作用的结果，而人员的安全是整体安全的第一步。只有保障了人员的绝对安全，才能在技术安全与管理安全中找到符合企业自身的信息安全定位，真正让企业的信息安全措施为企业业务保驾护航。

［1］刘仁勇，王卫平.企业信息安全管理研究［J］.学术研究，2007（6）.

［2］中国互联网络信息中心.2013年中国网民信息安全状况研究报告［R］.北京：中国互联网信息中心，2013.