Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on 五月 14, 2013 in 資訊安全, 資訊管理 | 1 comment

辦公室資訊安全查檢及防範

辦公室資訊安全查檢及防範

企業辦公室可以算是充滿最多重要資訊的地方了,相對的也是最有機會發生資安外洩的場所,也許你在辦公室的一舉一動,都有可能在不經意中破壞了資訊安全的守護原則。

今天來聊聊,什麼情況下,辦公室這些狀況都要算得上為「資安外洩」及我們該如何做最基本的防範。

Office of information security

辦公室=資安的危機 ?
這邊列舉六點,提及在辦公環境中最容易犯的資安外洩查檢點及這六點又會造成怎樣的資安影響。

  1. 密碼太簡單
    密碼永遠是最基本需要注意的地方。若其他員工有意要藉由你的帳號登入竊取資料,要是所設定的密碼太過簡單,很容易就被猜出。加上若因為軟體漏洞,讓惡意人士入侵電腦之後,他也很有可能破解密碼登入重要的系統竊取資料。
  2. 人員進出辦公室有無管制、辦公室區域有無區分
    當人員進出辦公室沒有管制,可能會有非公司的人士進入卻無人知道,也有可能被竊取辦公室的重要資料或是破壞資訊設備。而辦公室區域也該有機密等級區分,像機房或是會計部都應列為較高等級的區塊,因機房是資訊設備重要的區域,而會計部則是含有非常多公司重要帳務及數據資料。
  3. Email 風險
    最容易出現的Email 風險,應該是一些釣魚電子郵件,引誘收件者點閱而導致木馬程式的安裝或病毒的感染,有些時候電腦木馬或病毒的感染甚至會蔓延到所有區域網路上的電腦上。也有些因人為疏失導致寄錯信件,可能會將重要的資訊或是機密提供給錯誤的對象,致使訊息外洩。
  4. USB隨身碟遺失
    員工常將重要資料及一些簡報或是私人資料放到同一個隨身碟,但隨身碟又容易遺失,或是在公用電腦上使用後忘了帶走,且隨身碟上又沒有做加密設定,若被有心人士帶走的話,則會導致資料外洩。(像WIS我們自身的做法是直接添購內建加密功能的隨身碟供同仁使用,儘量將隨身碟帶來的資安風險降至最低)
  5. WIFI 設定錯誤
    因為WIFI無線網路的便利,現在辦公室很多都安裝有WIFI供員工或客戶上網使用。但如果錯誤設置 WIFI,也等於將公司的資訊大門打開。提供給公司內部使用的WIFI及提供給客戶使用的公用WIFI是否妥善設定,將兩者區域網路分開?WIFI 密碼是否安全?密碼有沒有定期更換?這些都是必須要注意的地方。
  6. 未妥善儲存及丟棄紙本文件
    雖然企業一直推行無紙化的作業,但企業在日常維運上,我們還是有大量的紙本文件出現。這些紙本文件往往記載很多客戶的個人資訊、服務資訊、甚至信用卡資料等。紙本文件在人員離開桌位的期間是否隨意放置在辦公桌上、還是有帶有鎖的儲存空間?當丟棄紙本文件時,是否採用碎紙機?碎紙機的規格是否合乎一定的保密需求?對於紙張的安全管理,在企業往往是被忽略的對象。

以上幾點都是最常遇見的狀況,但其實這些狀況其實都是可以避免的!

 

辦公室資安維護,人人皆有責
之前我們在資訊安全守門員一篇已經提過,資訊安全並不是只靠資安官一人軍團就夠,於是,為了要讓資安觀念深固在員工腦海中,首先制定政策是就最優先要執行的事情,要有政策才能讓員工有依據做規範,才會讓員工清楚了解要如何做才能和公司一起做好資訊安全。

像我們公司導入了ISO27001(註一)、也自行訂定「辦公室使用規範」、「一般同仁資訊安全管理辦法」來協助資訊安全政策的制定,有的企業則會依據另外的管理方法來協助政策的擬定,這都在在顯示出制定政策的重要性。再來就是員工的教育訓練,「人為疏失」這個原因在資安事故中往往都是佔最大的比例,所以定期的教育訓練對於資訊安全上是件很重要的事情。

 

辦公室資安做得好,人人皆獲益
一間公司的員工資安意識要是健全,就會知道如何做好資訊安全以及如何保護機密或是重要資料,不只是幫助公司,也是提升個人價值的一種方式。此外,藉由稽核單位定期審查政策及確認執行上是否有效的制度,可定時向全體員工宣導,相信這樣密集的教育之下,每位員工在防範企業資安外洩的能力相對就會提高許多。

說了那麼多,到底在辦公室做好資訊安全對於企業來說有哪些好處呢?可以強化企業安全,提升企業形象,提高安全管理成效,讓合作廠商及顧客對我們自身企業有信心,又可降低法律上的風險,太多好處,何樂不為呢?

加上近年來個資法的議題炒得沸沸揚揚,個資法也於2012年十月正式上路了,保護的資料更多,適用行業更廣,罰則也更重,甚至新增了團體訴訟的方式,因此企業行號對於保護個人資料的意識相對也提高許多,因為要是洩漏客戶的個人資料,依照新上路的個資法可是會吃不完兜著走呢。

總歸一句,辦公室不是製造資安的危機場合,而是最基本防禦資安的門面,我們在辦公室的一舉一動,只要牽涉到資訊安全層面,都應該要更小心,更注意。

註一:ISO27001 = 現今國際公認最完整的資訊安全管理標準

圖片來源:llin Sergey /Shutterstock.com

Iris Wang

以前是個咖啡人,轉換進網路職場也好多個年頭。 喜歡用文字表達,有時比嘴巴好用。 有一隻黃色虎斑貓。

More Posts - Website

Follow Me:
PinterestFlickr

1 Comment

Post a Reply

你的電子郵件位址並不會被公開。 必要欄位標記為 *