我们一直说等级保护从技术和管理两个大方面进行规范,其中管理制度又细分为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,这些已经在不同的材料里已经为我们所知,今天我们就安全管理人员中的人员离岗做一个简单探讨,结合要求再做一个补充。
当然,虽然国外常常用“最佳实践”来作为标题,我感觉“最佳”二字还是待商榷的,但是后面补充内容至少是可以作为一个参考的。一则,表达人同此心,心同此理,往古来今,概莫能外的安全管理原则是一致的;二则,在我们思考人员离岗管理过程中,是否有些内容没考虑全面,聊作借鉴。
以等级保护基本要求中对第三级安全管理人员之人员离岗要求,具体情况如下:
| 安全管理人员 | 人员录用 | a)应指定或授权专门的部门或人员负责人员录用; |
| b)应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核; | ||
| c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 | ||
| 人员离岗 | a)应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; | |
| b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 | ||
| 安全意识教育和培训 | a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施; | |
| b)应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训; | ||
| c)应定期对不同岗位的人员进行技能考核。 | ||
| 外部人员访问管理 | a)应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案; | |
| b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; | ||
| c)外部人员离场后应及时清除其所有的访问权限; | ||
| d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息。 |
如何让员工彻底离职
这里比较形象的一个说法,若权限管理不到位,则人员离职了但是权限还在,因这类管理失误引发的网络或数据安全事件也不在少数,在新闻报道中也算是常见的一种安全问题,加之还存在大量未公开报道的,此类隐患存在的普遍性就可想而知了。当然,下面是借鉴了国外的一些安全网站,结合等级保护基本要求项,我们做一个简单探讨,此并非“最佳选项”或“最佳实践”,每个组织(网络运营者)还需要根据自身情况制定切实可行,科学完备的安全管理制度,以下内容仅供在落实等级保护工作过程中参考!
-
立即禁用离职员工在 Active Directory 中的账户;30 天后,将其删除。
-
禁用用户的邮箱登录;根据需要将电子邮件转发给用户的经理。
-
终止 VPN 和远程桌面访问。
-
终止对远程 Web 工具(Web 应用程序、Office 365、电子邮件等)的访问。
-
终止对语音邮件的访问。将电话和语音邮件转发给用户的管理员,并在管理员方便时将其删除。
-
禁用对 SAP 等业务应用程序的访问。
-
更改离开用户知道的所有共享账户密码。
-
将用户的个人共享数据和电子邮件存档移动到经理的账户;在管理员方便时删除它们。
-
重置多功能打印机上的“传真/扫描到电子邮件”设置。
-
从电子邮件组列表、通讯组列表、内部电话列表和网站中删除用户。
-
连接到用户的工作站并将其关闭。
-
检索或禁用分配给用户的所有公司拥有的物理资产(计算机、笔记本电脑、手机、平板电脑等),并更新 IT 库存。
-
将所有需要的本地数据从员工的计算机复制到经理的计算机。
-
更改用户知道的任何访问代码,例如用于访问安全房间的 PIN。
-
从用户的工作区域移走任何个人物品。
-
通知公司员工该用户不再在那里工作。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:人员离岗管理的一些参考实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论