离职期员工的信息安全管控实践
感激InfoQ的小编约稿,鞭策自己不断写作,郑重感谢黎同学。
InfoQ 文章地址:
全文约1880字,阅读约5分钟。
随着“互联网+”逐年深化,各行各业对信息技术依赖日益显著,众多企业的 IT 系统都承载并积累了大量用户数据或个人信息。前些年,企业的信息安全风险主要集中在互联网在线业务攻击导致的数据泄露,而近些年,数据买卖猖獗,利益诱惑巨大,企业内部员工的违法违规导致数据泄露屡增不减,很多大中型企业的信息安全建设,也逐步从攻防对抗的安全防御建设,到日趋重视员工的违法违规安全管控建设。本文针对离职期员工(以下简称“预离职”或“待离职”员工)的信息安全管控策略进行实践总结和经验分享。
第一节:预离职员工的工作权限回收
员工的工作权限回收特指账号回收、特权回收,包括两种机制:一种是系统自动清理机制,一种是手工工单流程清理机制。前者需要在 HR 系统中明确离职日期,由各 IT 系统与 HR 系统自动完成离职日过期后的账号权限自动清理动作;后者需要预离职员工自己主动发起工单流程,在最后离职日审核前,完成相关账号权限的清理动作。发生上述两类行为时,对其直接上级自动触发离职员工权限审视电子流。
一般的员工工作权限包括日常办公权限和业务工作权限两类,可以参考下表的安全管控策略进行建设。需注意的是,对于大型集团公司,跨公司转岗应等同于离职情况处理;对大中型企业公司,跨部门转岗应等同于离职情况处理,上述两种情况均应按离职策略管控。
第二节:预离职员工的日常行为监控和预警
在员工提出正式离职后,应对员工的日常工作行为监控,并对异常行为进行预警。可采取的常规措施包括:追溯离职前的员工异常行为、每日发送行为跟踪报告、高敏操作实时审计、已有安全管控措施升级。
追溯发起离职日前六个月的异常行为报告,通过邮件将报告发给员工上级领导提醒关注。异常行为报告的内容应包括六个月内触发的异常行为记录,含告警时间、告警类型、告警事件等描述。
每日邮件发送员工行为跟踪报告给员工及其直接上级,员工行为跟踪报告内容可包括办公类信息如办公 IM 日沟通量、日桌面操作时长、日邮件发送量、考勤信息等,也可包括业务操作信息如 IT 运维使用堡垒机记录、开发人员请求代码记录、业务人员访问业务系统记录等。
针对高敏操作进行实时审计,特别是对日常使用含有敏感数据的业务系统的员工,或 IT 运维、开发人员进行数据库访问、查询取数、下载数据、同步数据、源代码等行为。对高敏操作审计要同步到信息安全监控系统中,由信息安全团队或部门安全员进行实时检视,一旦研判为可疑行为应和预离职员工领导第一时间确认是否正常。
已有安全管控措施升级,是指在不影响员工体验的情况下,可以采取强化升级的安全管控措施增加对员工违法违规的威慑。如已部署屏幕水印 /APP 水印可以水印加深,通讯录查询数量、次数限制、已部署文件 / 磁盘加密措施自动加密笔记本数据类的大文件或高密级文档等。
第三节:预离职员工的继续教育
在离职期间内,除了采用技术措施加强企业的信息安全管控,还需不断加强员工个人的法律意识,避免存在侥幸心理。
在离职流程中,签署《信息安全和保密承诺书》声明,员工承诺“不记录、不带走、不泄露”各项公司资料和敏感信息,归还或销毁在职期间各类已获得的公司资料或敏感信息。
在离职期间内,完成《安全意识培训课程》和《违法违规案例警示》学习,并通过在线安全教育考试,考试成绩通过邮件发送至本人及其直接上级,若第一次考试不通过,可第二次考试,两次考试均不通过,延迟离职期一个月,直至考试通过。
对部分核心、高级岗位,在离职流程中,签署《竞业协议》文件,保护企业的商业机密。
第四节:预离职员工的工作申请和审批
在离职期间内,针对一些数据分析、IT 运维、系统开发等岗位员工,为使其能正常完成相关工作,依然需要保留一定的系统权限,这时需要对这些岗位的高敏操作采用“一用一申请,一用一审批”的流程机制,降低员工违规风险。
对于核心或机要岗位员工,应规定在职期间的脱密期,一般为六个月,根据企业情况可以给予一定的保密津贴,员工离职前至少提前六个月申请脱密,并强化保密义务。
对于员工丢失办公机或因各种原因无法归还办公机的情况,应由员工提供公安机关出具的报案证明,方可启动资产报废流程。同时信息安全团队和办公团队应建立办公机互联网上线监控机制,远程定位机制,远程擦除办公机数据机制等技术措施,进一步防范企业的数据泄露风险。
综上所述,为便于企业对离职员工的信息安全管控,可以形成一份信息安全管控举措清单供读者交流和学习分享,如下:
坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。
参考链接:https://mp.weixin.qq.com/s/hIIyFbx562WREErC9Ygw0Q