隨著互聯(lián)網(wǎng)技術(shù)在企業(yè)應(yīng)用的不斷深入,數(shù)據(jù)本身已經(jīng)成為企業(yè)最重要的資產(chǎn),這一點(diǎn)在業(yè)界已經(jīng)形成共識(shí)。也因此數(shù)據(jù)的防泄密工作也成為企業(yè)安全防護(hù)的重點(diǎn),然而,一些企業(yè)在進(jìn)行數(shù)據(jù)的存儲(chǔ)和部署時(shí)很容易交叉存儲(chǔ),把敏感信息不小心部署到公開的或者不應(yīng)該部署到服務(wù)器上,更容易造成數(shù)據(jù)的泄密。
1、企業(yè)面臨的主要數(shù)據(jù)安全威脅
辦公網(wǎng)絡(luò)化已經(jīng)成為了未來(lái)企業(yè)辦公的趨勢(shì),然而,這雖然為企業(yè)帶來(lái)了極大的便利,但也帶來(lái)了極大的危害,企業(yè)要時(shí)刻面對(duì)核心數(shù)據(jù)泄露的風(fēng)險(xiǎn)。企業(yè)面臨的數(shù)據(jù)安全威脅主要包括:內(nèi)網(wǎng)安全、傳輸過(guò)程安全、客戶端安全、服務(wù)器安全和數(shù)據(jù)庫(kù)安全。網(wǎng)絡(luò)經(jīng)營(yíng)者和機(jī)構(gòu)用戶只注重網(wǎng)絡(luò)效應(yīng),對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防護(hù)的要求,網(wǎng)絡(luò)安全仍是企業(yè)目前面臨的最大安全問(wèn)題。
對(duì)于企業(yè)而言,數(shù)據(jù)訪問(wèn)權(quán)限控制在信息化監(jiān)管方面發(fā)揮著極其關(guān)鍵的作用。做好數(shù)據(jù)安全策略,首先應(yīng)明確企業(yè)內(nèi)部管理層級(jí)的劃分,哪些管理人員能訪問(wèn)哪些數(shù)據(jù),對(duì)數(shù)據(jù)做何種程度的修改都應(yīng)當(dāng)有相關(guān)內(nèi)部管理文檔可供CIO進(jìn)行查閱,從而可以劃分?jǐn)?shù)據(jù)訪問(wèn)授權(quán)權(quán)限,在登錄、訪問(wèn)控制以及責(zé)任審計(jì)方面做到有章可循。
2、企業(yè)如何處理員工個(gè)人隱私與企業(yè)數(shù)據(jù)之間的關(guān)系?
現(xiàn)在很多企業(yè)在打著維護(hù)網(wǎng)絡(luò)安全、提高工作效率、防止機(jī)密泄露等旗號(hào)的同時(shí),都安裝了具備監(jiān)控網(wǎng)頁(yè)、屏蔽網(wǎng)頁(yè)等功能的網(wǎng)絡(luò)軟硬件設(shè)備,這些意味著員工在電腦上的一舉一動(dòng)都處于單位的監(jiān)控之中,一些私人信息也難以幸免。公司監(jiān)控員工上網(wǎng)、涉及侵犯員工隱私的糾紛隨之增多,而目前國(guó)內(nèi)相關(guān)法律法規(guī)幾乎為空白。
對(duì)于如何處理好員工個(gè)人隱私和數(shù)據(jù)之間的關(guān)系,需要從個(gè)人、企業(yè)以及社會(huì)法制三個(gè)層面考慮:
首先,對(duì)于員工個(gè)人而言,在工作的同時(shí)應(yīng)當(dāng)盡量避免將過(guò)于私密信息公布于外網(wǎng)之上。上班時(shí)間以工作需要的交談為主,盡量少地利用工作時(shí)間以及公司現(xiàn)有資源進(jìn)行私人性質(zhì)的活動(dòng)。其次,對(duì)于企業(yè)而言,在進(jìn)行商業(yè)化運(yùn)作的同時(shí)應(yīng)注重保護(hù)員工的個(gè)人隱私。公司應(yīng)當(dāng)建立相應(yīng)的規(guī)章體系來(lái)完善監(jiān)控事宜,并與企業(yè)員工進(jìn)行事先約定與洽談,讓員工了解到企業(yè)使用監(jiān)控軟件是為了確保企業(yè)隱私信息不會(huì)通過(guò)私下的傳播擴(kuò)散到外界中去,而不是打探員工隱私,從而得到員工的理解與支持。最后,對(duì)于法律法規(guī)來(lái)講,應(yīng)當(dāng)盡快出臺(tái)相關(guān)的法律政策,確保在企業(yè)商業(yè)化運(yùn)作過(guò)程中,不侵害員工個(gè)人隱私的同時(shí)保障企業(yè)信息不向外泄露,使企業(yè)能夠正常化運(yùn)轉(zhuǎn)。
3、企業(yè)數(shù)據(jù)安全選型力求全面化
企業(yè)在進(jìn)行數(shù)據(jù)安全選型時(shí),應(yīng)當(dāng)從“身份生命周期管理”的角度去多方位考慮,力求在數(shù)據(jù)安全保護(hù)方面得到全面化的管理,而不是單一依靠監(jiān)控軟件達(dá)到數(shù)據(jù)防泄漏的目的。生命周期管理模型包含創(chuàng)建帳戶、分配權(quán)限、身份認(rèn)證與訪問(wèn)控制、用戶行為審計(jì)、角色變更和賬戶回收等幾個(gè)方面。數(shù)據(jù)安全是一個(gè)系統(tǒng)思維,從整體考慮,包括從客戶的可接受程度,包括說(shuō)消費(fèi)者可接受程度,來(lái)真正考慮信息安全怎樣去建設(shè)。安全從來(lái)不是自動(dòng)就能實(shí)現(xiàn)的,它需要人的參與。根據(jù)安全原則,一個(gè)系統(tǒng)應(yīng)該設(shè)置多個(gè)人員來(lái)共同負(fù)責(zé)管理,但是受成本、技術(shù)等限制,一個(gè)管理員既要負(fù)責(zé)系統(tǒng)的配置,又要負(fù)責(zé)安全管理,安全設(shè)置和安全審計(jì)都是“一肩挑”。這種情況使得安全權(quán)限過(guò)于集中,一旦管理員的權(quán)限被人控制,極易導(dǎo)致安全失控。
企業(yè)應(yīng)該明文規(guī)定有關(guān)設(shè)施訪問(wèn)、網(wǎng)絡(luò)訪問(wèn)、合理使用公司系統(tǒng)與網(wǎng)絡(luò)以及合理使用公司電子郵件和瀏覽器的相關(guān)流程和規(guī)則。如果組織制訂條文明確、解釋清楚的安全策略,并加以執(zhí)行,就能有效地對(duì)付這一點(diǎn)及簡(jiǎn)單的錯(cuò)誤。
目前,國(guó)內(nèi)外一些列的泄密事件將安全問(wèn)題推到了眾人的面前,這個(gè)問(wèn)題只會(huì)越來(lái)越突出,越來(lái)越重要。所以,身處信息時(shí)代,數(shù)據(jù)永遠(yuǎn)是企業(yè)最需要保護(hù)的東西,未來(lái)的數(shù)據(jù)安全將以高度集成化和標(biāo)準(zhǔn)化為趨勢(shì),立體全面的對(duì)企業(yè)甚至國(guó)家的安全提供保障。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:三步切入企業(yè)數(shù)據(jù)防泄密選型最佳實(shí)踐
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839513604.html
相關(guān)文章
