如何在内部系统的信息安全控制上和员工满意度中找到平衡？

参加220期信息安全门诊所问的问题，一直困扰很久的。

hengdao_guo
发表于 2011-10-16 14:54:05
第 74 楼





在信息化社会，信息是最重要的资源。现在一些大企业对外部防御是相当舍得投入，花大把银子购买防火墙、入侵检测系统，但对内部系统的信息安全管理管理的很松懈，导致“家贼难防”而使公司信息泄露。很多企业都会有这样的问题：对内部控制不严会导致信息泄露，但如果对内部管理的过于严格会又导致工作的不方便和员工的不满。如果要控制信息安全确实有很多方法，如封闭电脑USB口，安装信息安全软件，建立自己内部的办公网络等。但这样不但投资巨大同样会面临员工的不满而导致消极怠工。像通信业的华为将信息安全做到了极致，所有员工的笔记本电脑都安装信息安全软件，USB口被封，不许随便上外网，定期进行信息安全检查，发现违规就严格处罚。。。。。 这些措施的推出使员工的电脑彻底成了工作的工具，对信息安全防护确实也起到了很好的作用。但员工对公司的不满也是常常挂在嘴上的，这些措施之所以能在华为行的通我想和华为的高薪是起很大作用的，其他一般企业是不能也无法效仿的。

请问黄总在信息安全控制上，如何在内部系统的信息安全控制上和员工满意度中找到平衡，既能使公司内部安全得到保障又能使员工怨言最少。



我也想问(0)

埋起来(0) 编辑



黄凯

您好！

要在信息安全控制以及员工满意度中取得一个很好的平衡，我觉得可以需要从管理和技术两个方面去着手：

1、对员工进行相关的安全培训，逐渐改变他们的看法。让大家明白，管控是对事不对人，它只是实现安全的一种手段，在最大程度上取得他们的支持与理解。

2、管控需“因部而异”，企业内每个部门担任的职能有所不同，要根据每个部门的具体情况进行相适应的管控，要掌握这个“度”。

3、管控需要在保证安全的前提上尽量灵活、人性化。

4、要全面、细致。管控可能对内部的工作造成影响，而审计不会。通过审计，一方面，产生震慑作用，而另一方面也利于发现威胁，降低了安全事故发生的几率。

审计固然重要，但为了避免引起内部人员的反弹以及法律风险，审计需要具有合规性：

一是要明确审计的范围；二是对审计人员的权限，要有所限制；三是要合理利用审计的来的信息。