資安服務說明 關於本網站 網站導覽
i-Security 電子報 第 112期【2011/08/31】

(2011.08.31  第一一二期)

資安隨堂測驗

Q1. D
Q2. D

Q3. B

 




 
從人力資源管理角度談資訊安全如何維護
魯明德、魯晏汝 (2011/10/14)

壹、前言

  近日新聞報導,有一位華裔工程師,因任職期間被指控濫用員工折扣購買商品,並轉售圖利而被解僱,於是基於報復及炫耀技能的心態,開始入侵前公司的電腦,不僅刪除多個伺服器,並關閉一個內部系統,同時刪掉大多數的檔案及E-Mail信箱;此舉不僅讓該公司員工無法登入,更影響所有的分店及電子商務部門。據了解,該員是利用受僱期間職務之便,用虛假的員工資料設立帳號,以方便自己登入公司系統。被解僱後更多次以該帳號入侵公司的網站進行破壞,造成公司嚴重的損失。

  除了上述案例外,離職員工可能帶來的問題也包括帶走公司的營業秘密或客戶資料、離職後惡意中傷前公司或主管等。為避免類似狀況的發生,我們可以從員工在職的管理及離職的管理兩部分進行探討。

貳、員工在職期間的管理

  在平日例行的工作中,其實潛藏著許多可能危及公司的危機。例如:業務人員在日常工作中因職務之需,有時會將客戶資料攜出;行銷人員及研發人員因工作的連續性和時效性,而將工作帶回家繼續完成。這些當下看似不怎麼樣的行為,在未來的某一天也許就可能侵害到公司的權益。有鑑於此,身為公司的管理者,可從下面幾個方向著手進行規範:

一、禁止攜帶私人的電腦進入公司,或是在公司使用私人的電腦:有些公司並未禁止員工在工作時間使用私人的電腦,甚至公司一開始用人時,為了節省成本,不發放電腦給新進人員,請他們使用自己的Notebook。眼前看來的確可為公司節省一筆開銷,但長遠來說,員工等於隨時可將公司的機密文件(系統開發程式、客戶及訂單資料等等)存放在個人電腦中攜出,離職時也無法管控員工到底帶走了多少公司內部資料。所以員工新進時配置一台電腦,並且禁止員工攜帶私人的電腦進出公司,絕對有其必要性。

二、禁止使用外部存取裝置:相較於厚重的紙本資料,使用輕巧的外部存取裝置將資料攜出公司是很容易的事,所以平時就應規範外部存取裝置的使用,以避免員工隨意將重要文件攜出。

三、重要或機密文件禁止列印及另存複本檔案。
  除以上規範外,公司更應定期檢核各單位人員的作業流程。以上述案子為例,當有新人報到時,人資單位理應通知各相關部門建立資料。稽核單位也可以定期依人資單位所提供的在職名單去檢核系統裡的帳號,是否有離職未關閉的,或是存在虛假的帳號,以避免員工離職後還可以隨意入侵公司的系統。

參、員工離職的管理

  員工離職的原因有很多,例如:工作壓力太大、待遇不理想、沒有發展性、不滿人際關係、遭到解僱等等。離職原因雖有千百種,但不論是哪種理由都有侵害公司權益的可能,所以當員工提離職時,身為公司的管理者或是該員工的直屬主管,除了要煩惱工作該如何交接、要不要找新人進來之外,了解員工離職的原因更是件重要的事。

  此時可以透過離職面談的方式跟員工一對一地進行面談,大部分要離職的人,會比較願意說出真心話,或許有些人不會毫無保留地說出離職的原因,但經由同理心的談話,或許較能旁敲側擊地問出離職的原因。此外,如果離職原因是由於對公司的政策或管理方針不滿時,也可以藉此提出修正,以降低其他員工的離職率。離職面談除可探究離職的原因外,也可在此過程中提醒離職員工須將公司的資料完全交接,不可私自夾帶出去,尤其是研發或管理級人員,更不可將公司的營業秘密帶至新公司,以免觸及競業禁止的規定。

  一般管理嚴謹的公司,人資單位會在員工離職當天,通知各系統相關負責人把該員工所有帳號、網域及門禁設定都關閉,以免發生像案例一樣的狀況。有些公司竟在員工離職兩三個月後,仍未將其相關的設定關閉,以致離職員工依然可以用原帳號密碼登入並使用系統。這種管理上的漏洞很容易讓心懷不軌的員工有機可乘,這點在離職員工的管理上不得不注意!

肆、結論

  「請神容易送神難」是每個公司管理者最怕遇到的問題,為避免發生這樣的問題,除了在一開始招募新人時就要做好謹慎評估外,在員工平日管理上更應落實做好各項資訊安全的防範措施,以避免真的發生問題時,造成公司無法彌補的損失。


資料來源:法務部調查局

 

 
Copyright ©NII 產業發展協進會 隱私權政策免責聲明IPR