我一直认为,内网安全或防范泄密(个人认为防范泄密是内网安全的重要内容之一),仅仅依靠技术手段是不可能做到的。“三分技术,七分管理”在这个安全子领域尤其适用,因为在该领域,防范的对象是具有合法权限的内部人员。很多企业的员工甚至拥有本机的管理员权限,怎么可能凭借主机上的一个代理软件就能做到万无一失呢!如果有厂商如此宣称,那只能是“美丽的谎言”。
解决内网安全或防范泄密问题,必须结合技术手段和管理手段,更准确地讲,技术手段只是支持管理制度执行的工具。
今天正好在chiancissp上看到某大公司的文档保密管理基本原则,觉得很不错,正好可以作为内网安全方案中管理制度部分的参考。所以转载如下:
--------------------------------------------------------------------------------------------------------------------------------------------
四、基本原则
受控原则:严格监控文档的传递过程和扩散范围,保证做到“先审批,再获取;先登记,再传递”,在严格保密和规范化的前提下提高效率。
工作相关原则:每个人只能查阅与本人工作有关的文档内容,严禁任何个人收集与自己工作无关的文档;各部门必须制定《文档查阅权限规则》以明确查阅权限,具体到人。
分层控制原则:采用分密级/分层次的方式控制文档的查阅批准和传递。
载体控制原则:文档纸件的打印和复制必须受控;电子件的传递必须经过审批并记录。
及时归档原则:文档必须及时通过审核或评审并归档到相关管理部门,以便查阅和共享。
交接控制原则:若进行人事调动或工作分配的改变,必须做好文档的交接;若进行计算机、硬盘、便携机等资产转移,必须由原资产使用人删除资产上携带的文档。
监督管理原则:
1.
专职管理部门和各级管理者必须定期或不定期检查本条例的执行情况,并记录或通报检查结果;任何人不得以任何理由回避检查。
2. 对于泄密行为和可能导致泄密的违规行为将给予严厉处罚。
3.
所有员工有责任尽最大努力堵住任何可能泄密的渠道;有责任举报泄密事件;若出现文档异常扩散现象应立即向上级报告。对于及时发现或阻止泄密事件发生的员工给予奖励。
4.
所有员工必须对自己持有或查阅到的文档的保密负责,不得随意传播文档内容。
http://www.i170.com/Article/62431/trackbackPowered by Haiwit
主题:[