人力资源管理中的信息安全对策,本文主要内容关键词为:人力资源管理论文,信息安全论文,对策论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
招聘和离职中的信息安全
信息是企业的无形资产。信息系统安全就是指在信息处理和保存的过程中保证信息的机密性,完整性和可用性。而对于人力资源部门来说,就是要让员工能正确使用和处理信息,保障信息系统的安全。
招聘。成功的员工招聘的首要前提就是定义招聘职位的工作范围。通常情况下这项工作是由招聘职位所在的具体部门提出,由人力资源部门负责审核该工作范围的合理性以及是否满足职责分离的要求。所谓职责分离是指对职位的责任进行分离,使单独一个人无法破坏整个过程。例如,在金融系统中,单独一个人通常无权发放支票。而应该是一个人发出支付申请,另一个人对这个支付进行授权。实质上,应该将互相制衡的机制应用到具体职位设计中。人力资源部门有责任确保正确定义这样的职位。
在招聘过程中,人力资源部还应和相关的业务部门一起确定所招聘职位的敏感性,了解该职位所具有的权限可能对信息系统安全造成的损害,并在这一基础上对候选人进行适当的审查。比较敏感的职位通常需要雇佣前的背景审查:不太敏感的职位可能在雇佣后审查(入职—在岗)就可以了。审查可以有多种方式,例如可以通过候选人的前雇主、前同事或朋友了解情况。一个降低风险的技巧就是先将所招聘的员工安排在敏感性较低的职位。
离职。员工的离职通常可划分为“友好的”或“不友好的”。“友好的”是指员工自愿辞职接受更好的职位或是退休。“不友好的”可能包括员工被解雇的情况、“裁员”或非自愿调任。幸运的是,前者是最普遍的,但是两种情况都涉及到安全问题。
友好的离职。友好的离职是指员工与企业没有任何争议地离开。因为预期离职会正常进行,所以通常是为离开或调任的员工完成一系列人力资源部门的标准规程。这些规程以确保系统账户能够被及时清除,物理访问权限被收回等。
不友好的离职。不友好的离职涉及到不情愿或敌对情况下的员工离职。这可能包括裁员、非自愿调任、因“性格冲突”辞职以及未妥善处理的不公平情况。这种离职中的紧张关系将导致安全问题加重和复杂化。另外,所有涉及到友好的离职问题还都存在,但是处理起来可能会更困难。不友好离职的最大威胁可能来自那些有能力更改代码或改变系统或应用的人员。例如,系统管理人员的职位使其容易造成系统运行的重大故障。没有适当的防范措施,拥有这种访问权的人员可以在代码中放置逻辑炸弹(如擦除磁盘的隐含程序)在该职员离开之后才执行;备份拷贝可能会被毁掉,甚至还有代码被“劫为人质”的例子。一般用户也可能造成损害。他们可能会故意输入错误命令,将文档错误归档,以及制造其他“随机错误”。矫正这些情况可能会非常耗费资源。
对于潜在的不良影响,安全专家通常建议在这种情况下迅速终止系统访问权。如果员工被解雇,人力资源部门应该具备相应的处理流程,在通知员工离职的同时(或之前)要求IT部门清除员工对系统访问权。当员工向单位提出辞职、人力资源部门有理由预期这是不友好的离职时,也应立即终止系统访问权。在员工办理离职手续期间,人力资源部门还应适当限制其活动区域和功能,尤其是对具有更改程序或修改系统或应用能力的人员更应如此。
培训。人力资源部门应为员工提供信息系统安全方面的培训,并制定相应的规章和流程,保证每个员工在上岗之前都接受了该职位必需的培训,并在工作期间定期更新和加强所需的安全技能。企业的安全培训可以分为三个层次:安全意识教育、安全技能培训和安全专业研究。后两项都属于专业技能的培训,应由企业的IT部门自行制定计划,只有安全意识教育是面对全体员工的,应由人力资源部门负责实施。
安全意识教育。信息安全意识教育的目的是让企业内的每一个员工都了解信息系统安全的重要性以及可能导致的后果,掌握基本的操作技巧,并提醒他们遵守相关的安全流程。
安全意识教育可以让员工认识到保护信息资产对企业来讲是至关重要的。如果员工认为企业的安全措施是无事生非或可有可无的,那么无论多好的安全措施都不可能得到贯彻执行;反之,他们就会有加强这方面的意识,并可能进一步提出优化安全措施方面的建议。安全意识教育还可以让员工掌握一些基本的安全操作技能,例如:口令的保管,可疑邮件的处理和屏幕锁定等。
安全意识教育可以采用多种途径,并不局限于课堂培训这一种方式。录像,多媒体动画,宣传海报等都是可选的方式。
日常信息安全的管理
休假。休假是企业给员工的福利,可以让员工在长时间的工作压力下得到体力和精力上的放松和恢复,更好地投入到以后的工作中去。与此同时,人力资源部门还应意识到,员工休假也是一个进行安全检查的机会。临时顶替该职位的员工可以发现原岗位员工在工作中存在的安全漏洞和隐患,使信息技术人员及时堵塞漏洞。一个简单的例子就是,负责人力资源管理系统的员工休假时,需要将系统的管理权移交给接替他的员工,顶替他的员工如果发现系统的认证口令非常简单,不能满足公司的安全策略,这一安全隐患就可以得到及时的排除。因此,从多个角度来看,人力资源部门都应鼓励员工享受定期的休假。
轮换。周期性的岗位轮换也可以发现岗位信息处理流程中可能存在的安全漏洞和隐患。同时,让员工掌握多个岗位的工作技能,以便在紧急情况下保证信息处理不会发生中断。例如,负责人力资源管理系统的员工因故一周不能上班,如果其他的员工不会使用该系统,必将对日常的工作造成很大的影响。
处罚。大部分的信息安全问题都是由内部员工所引起的,IT部门能找到引发问题的人,但是对人的处理需要由人力资源部门来执行。我们知道,再好的管理措施如果得不到落实,也只是一纸空文。现实生活中有很多企业的办公网络中充斥着游戏和各种无用的信息,员工们交换口令以获取某些他们工作中并不需要的访问权限,企业的IT人员很清楚这些问题的所在,但是他们无能为力,因为他们没有管理权,无法对造成这些问题的人员进行处罚。人力资源部门有责任告知全体员工如果他们违反安全策略有可能受到的处罚,颁布详细的处罚制度,并配合IT部门实施这一规章制度。
信息安全的法律责任
最后,还应注意相关的法律责任。美国政府已经颁布了多个涉及信息安全的法案,如萨班斯-奥克斯利法案(SOX),健康保险流通和责任法案(HIPAA),格莱姆-布里勒法规(GLBA)等,这些法案虽然是针对不同行业的,但他们都规定了企业对信息安全所负有的责任,如果没有遵从法案对信息安全所作的规定和要求,公司就要承担法律责任。我国虽然在这方面起步较晚,但已经意识到这一问题的迫切性。国务院已在近期启动了《个人信息保护法》的立法程序,从法律角度保护个人信息。由于人力资源部掌握着员工很多的个人信息,一旦这些信息发生泄漏,人力资源部门必须承担相应的法律责任。
信息安全已经渗透到企业日常工作的方方面面,无论从企业整体的发展还是人力资源部门自身的要求出发,都需要时刻考虑到信息系统安全这一问题。