孫武練兵,諸婦嬉戲,雖貴為王妃亦斬之;孔明遣將,要塞失守,雖為愛將亦不得不罰。律不容殊,法不容情,凡是想要建立某種規則的人都應該明白。隨著BYOD、移動互聯網、云計算等逐漸進入企業,企業的信息泄露防護界線也變得越來越模糊,管控難度加大,企業急需建立有效的防泄密規則。然而制法容易行法難,為何?
防泄密的死結
是否你的企業也存在這樣的情況:在公司部署信息泄露防護系統后,首先把企業高層放到“免管控組”,之后可能還有各部門管理層、信息管控中心等等。而享受特權的管理層一旦過多,企業的防泄密工作就很難做好。
除了特權泛濫,還有不少影響企業信息泄露防護的因素,比如規則過于復雜,讓人無法操作;管理太過精細,動轍得咎,讓人不知所措;違反了規則,卻沒有懲罰措施,讓規則如同虛設,最后都不去遵守;…..如此這般,如線自繞,死結難逃。
安全如爐結自斷
那么究竟如何才能使企業的防泄密制度發揮實效呢?對此,西方管理學家提出了一個概念---“熱爐法則”,意思是制度就像一個燒紅的火爐,任何人敢觸碰,就一定要讓他受到“燙”的處罰,只有這樣才能樹立權威使人遵行。熱爐法則包括四個屬性,分別是警告性:熱爐火紅,不用手摸也知道會灼傷人;即時性:當你碰到熱爐時,立即會被灼傷;公平性:無論誰碰到熱爐,都會被灼傷。適度性:被灼傷的程序與接觸熱爐的緊密及時間相關。
知名內網安全管理先鋒溢信科技(www.ip-guad.net 微信號:溢信科技)認為,熱爐法則簡單而形象地闡明了信息泄露防護應該遵循的主要原則,它匯集了開誠布公、立竿見影、眾人平等眾多立法立信的思想,可以說是企業防泄密一個重要的方法論。無論是國家法律,還是企業制度,關鍵在于一個信字,當法如熱爐一樣鮮明、堅定,規則與執行合二為一,信自始然。那么在企業信息泄露防護的實踐中,具體怎樣實現熱爐法則?結合熱爐法則的四個屬性,溢信科技認為企業應建遵循如下四大原則:
1、警告原則。企業應首先制定清晰的防泄密制度,并并讓全體人員了解它們的重要性與緊迫性。其次通過多種形式讓大家明白具體哪些行為是危險的,應該如何去避免。溢信科技建議,單純的規定和枯燥的說教很難讓人信服,信息安全管理人員不妨多運用數據與案例,通過企業內部安全培訓平臺予以提醒與勸戒,讓其自己認識到防泄密的必要。
2、即時原則。企業對于觸犯防泄密制度者要即時予以處罰,因為違反制度的行為與處罰之間間隔時間過長,就不能收到好的懲戒作用。如果懲罰是采取扣獎金的形式,則最好在當月或當季的考核中予以兌現。
3、公平原則。對于已經制訂的信息泄露防護規則,企業應該貫徹到底。只要違反防泄密制度,無論是誰,無論其職務高低,都應該接受懲罰。這特別需要企業高層嚴于律己,以身作則。三國時曹操違反自己訂下的軍規,尚且割發示罰,企業領導者豈能置身事外,而盼威信著于人心。而且在實際的信息泄露防護實踐中,企業高層的示范與推動對防泄密項目的成敗往往起到決定性的作用。如果管理者己所不欲,即要強施于人,那必然會激起眾人的不滿,所謂的防泄密制度也只會流于形式。
4、適度原則。懲罰以制止不當行為發生為限,過度懲罰反而有害。要知道,企業懲罰違規防泄密制度的行為,是為了建立良好的信息泄露防護意識,而不是增加收入。同時溢信科技建議企業應該“取之于民,用之于民”,將罰款作為開展信息泄露防護技術培訓、演練等活動的基金,以幫助雇員增加防泄密知識與技能。
在信息泄露事件頻發的今天,企業信息泄露防護之重要已無須贅言。保護企業的核心機密,分分鐘關系到企業的生存。熱爐之法,貴在堅持。密是企之基,法如明鏡臺,時時勤拂試,勿使惹塵埃。如此,信息安全方可得長治。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
相關文章
