溢信科技:防泄密管理要遵循四原则

日期: 2013-12-11 来源:TechTarget中国

孙武练兵,诸妇嬉戏,虽贵为王妃亦斩之;孔明遣将,要塞失守,虽为爱将亦不得不罚。律不容殊,法不容情,凡是想要建立某种规则的人都应该明白。随着BYOD、移动互联网、云计算等逐渐进入企业,企业的信息泄露防护界线也变得越来越模糊,管控难度加大,企业急需建立有效的防泄密规则。然而制法容易行法难,为何?

防泄密的死结

是否你的企业也存在这样的情况:在公司部署信息泄露防护系统后,首先把企业高层放到“免管控组”,之后可能还有各部门管理层、信息管控中心等等。而享受特权的管理层一旦过多,企业的防泄密工作就很难做好。
除了特权泛滥,还有不少影响企业信息泄露防护的因素,比如规则过于复杂,让人无法操作;管理太过精细,动辙得咎,让人不知所措;违反了规则,却没有惩罚措施,让规则如同虚设,最后都不去遵守;…..如此这般,如线自绕,死结难逃。

安全如炉结自断

那么究竟如何才能使企业的防泄密制度发挥实效呢?对此,西方管理学家提出了一个概念—“热炉法则”,意思是制度就像一个烧红的火炉,任何人敢触碰,就一定要让他受到“烫”的处罚,只有这样才能树立权威使人遵行。热炉法则包括四个属性,分别是警告性:热炉火红,不用手摸也知道会灼伤人;即时性:当你碰到热炉时,立即会被灼伤;公平性:无论谁碰到热炉,都会被灼伤。适度性:被灼伤的程序与接触热炉的紧密及时间相关。

知名内网安全管理先锋溢信科技(www.ip-guad.net 微信号:溢信科技)认为,热炉法则简单而形象地阐明了信息泄露防护应该遵循的主要原则,它汇集了开诚布公、立竿见影、众人平等众多立法立信的思想,可以说是企业防泄密一个重要的方法论。无论是国家法律,还是企业制度,关键在于一个信字,当法如热炉一样鲜明、坚定,规则与执行合二为一,信自始然。那么在企业信息泄露防护的实践中,具体怎样实现热炉法则?结合热炉法则的四个属性,溢信科技认为企业应建遵循如下四大原则:

1、警告原则。企业应首先制定清晰的防泄密制度,并并让全体人员了解它们的重要性与紧迫性。其次通过多种形式让大家明白具体哪些行为是危险的,应该如何去避免。溢信科技建议,单纯的规定和枯燥的说教很难让人信服,信息安全管理人员不妨多运用数据与案例,通过企业内部安全培训平台予以提醒与劝戒,让其自己认识到防泄密的必要。

2、即时原则。企业对于触犯防泄密制度者要即时予以处罚,因为违反制度的行为与处罚之间间隔时间过长,就不能收到好的惩戒作用。如果惩罚是采取扣奖金的形式,则最好在当月或当季的考核中予以兑现。

3、公平原则。对于已经制订的信息泄露防护规则,企业应该贯彻到底。只要违反防泄密制度,无论是谁,无论其职务高低,都应该接受惩罚。这特别需要企业高层严于律己,以身作则。三国时曹操违反自己订下的军规,尚且割发示罚,企业领导者岂能置身事外,而盼威信著于人心。而且在实际的信息泄露防护实践中,企业高层的示范与推动对防泄密项目的成败往往起到决定性的作用。如果管理者己所不欲,即要强施于人,那必然会激起众人的不满,所谓的防泄密制度也只会流于形式。

4、适度原则。惩罚以制止不当行为发生为限,过度惩罚反而有害。要知道,企业惩罚违规防泄密制度的行为,是为了建立良好的信息泄露防护意识,而不是增加收入。同时溢信科技建议企业应该“取之于民,用之于民”,将罚款作为开展信息泄露防护技术培训、演练等活动的基金,以帮助雇员增加防泄密知识与技能。

在信息泄露事件频发的今天,企业信息泄露防护之重要已无须赘言。保护企业的核心机密,分分钟关系到企业的生存。热炉之法,贵在坚持。密是企之基,法如明镜台,时时勤拂试,勿使惹尘埃。如此,信息安全方可得长治。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 溢信科技:企业信息安全也需“加密门神”

    站在企业内网来看,核心数据就是企业的生死大门,这些数据一旦保护不力,被非法外泄或盗用,往往会给企业带来竞争力丧失、客户忠诚度下降、违规巨额罚款、媒体关注和社会舆论压力等等恶劣影响……

  • 溢信科技:企业防泄密时请“KISS”

    在企业管理中存在一个非常重要的原则“Keep It Simple, Stupid”,因为只有简单,才能被多数人接受,才能被更广泛地执行。企业信息泄露防护往往感觉纷繁无绪,更应该遵循KISS原则。

  • 溢信科技:高效防泄密须紧抓三个重点

    在信息泄露防护中其实80%的泄密事件发生于20%的风险点。溢信科技表示,这20%的高风险点主要包括三个关键层面:关键人群、关键载体和关键部门。

  • 溢信科技:防泄密不能因小而失大

    溢信科技认为,企业忽视小风险就可能铸成大事故,相反重视小细节,“小题大做”,将潜在风险扼杀于萌芽状态,才能确保真正的安全。