1. 言談間要提及資訊安全
發佈與資訊安全相關的備忘錄或公佈您的資訊安全原則,都是很好的作法。 不過,如果能跟您的員工公開談論資訊安全,也是很好的作法。 舉例來說,在開完會之後,可以跟每個人確認,看看他們是否使用 Microsoft Update 服務,安裝防止軟體攻擊所需的 Windows 或 Office 更新。 如此顯示出,電腦資訊安全對您的重要性。而且在新進員工使用電腦之前,也要跟他們談談資訊安全的問題。 在您發給新員工登入電腦的密碼之前,要先跟他們討論過資訊安全。
2. 建立可接受的使用原則
可接受的使用原則,是一份讓員工知道自己能用公司電腦設備做及不能做的事情之文件。 用書面文字來表達您的期望。 其中可包括您對於密碼建立、變更密碼頻率,以及開啟來自不明寄件者的電子郵件附件的原則。 也可以包括禁止在他們電腦上安裝未經授權的軟體。 此份文件可以表明違反此原則的處罰方式 (處罰方式可以是終止使用權),而且應該要經過所有員工簽署同意。 您身為企業老闆或經理,也應該要在此份原則文件上簽名。如果您的文件很長且很詳盡,您可以製作一份一頁的摘要,分發給員工,讓他們貼在靠近自己工作站之處,以幫助自己記住。
3. 跟員工討論處理機密資料的方式
除了制訂可接受使用原則外,也可以考慮製作講義,說明如何處理機密資訊。 這份原則應該涵蓋哪種電子郵件或文件是公司允許員工轉寄給公司外的人員、如何處理受著作權保護的資料、如何分享客戶資料,以及可分享的客戶資料類型。 對於嘗試存取自己無權瀏覽或編輯的檔案的員工,這份原則也可包含對這類員工的警告,還有包含哪種電子郵件是員工應該儲存或刪除的。 再次強調,讓這份原則在您的員工間流通,要求他們閱讀並且在其中一份簽名。4. 為您的企業找一位資訊安全專家
在您的企業裡,指派某人做為您的「資訊安全專家」,並且讓所有人知道,這個人隨時都能夠回應和解答他們的任何資訊安全問題。 如果您的企業有 IT 人員,那麼很可能您的資訊安全專家就可以出自這群人當中。 不過,如果是您或是有位通曉科技的員工負責管理您的電腦系統的話,你們其中一位就可以作為資訊安全專家。 如果可以的話,請您的資訊安全專家定期跟其他在工作站的員工,進行資訊安全檢查。
沒有留言:
張貼留言