员工离职时的商业秘密管理问题:一些员工虽然离开了,但是他们的一些身份却依然游荡在公司的网络、信息系统及数据库中,依然可能恣意地连接和占用着该公司的各种资源。网络的普及,离职员工或多或少拥有一定的访问权限。但当员工离职后,大多数创业者却没有适当的机制消除离职员工的访问权限,由此带来的风险是,残存的权限将有可能被离职员工本人或被其他黑客利用,影响网络安全。
创业者认识到这个问题所带来的风险后,如何降低甚至消灭这个风险呢?我们几乎找不出什么有效的通用办法。不过,可以根据自己的实际情况参考以下几点建议:
(1)建立和完善公司的安全策略、标准、指南和操作程序。这是非常必要的,能使创业者处处主动,而不是“头痛医头,脚痛医脚”。在策略中要考虑到配置管理、变更管理,从而能有效地发现和防止员工随意安装非授权的软件等。
(2)尽可能建立专用管理系统。当信息系统发展到比较成熟的阶段,公司内的各个系统应该整合在一起,同时拥有完善的数据控制机制,这样就能避免目前这种一个员工有多个账号、角色混乱的现象了。
但是在这之前,创业者也可以建立一个专用的管理系统,由它来集中控制和管理公司内部的账号、权限、角色等。这个管理系统能够减少人工处理的难度和工作量,可以提供诸如自动检查和删除过期账号、定期要求修改密码、查询和修改员工账号等功能。
(3)在安全管理中要注意一些问题。如果不能建立一个专用的管理系统,就要靠人工来管理,在安全管理中有很多问题值得注意。
①小心公共账号。对于公共账号要严格控制其权限,只能访问工作所需的有限的内容;公共账号不用后要立即删除;告诫员工不得向无关的人员透露。
②小心常用密码。教育员工避免对别人公开自己的常用密码。
③加强系统日志功能。各种日志就是将来跟踪用户行为的证据,如果有事情发生还可以成为司法取证的重要证据。
④小心分配资源,及时收回不用的资源。要根据员工的工作职责、资历、业务要求等决定员工需要接入哪些资源,以及为什么需要接入。当实际情况变化后,要及时收回不用的资源。
⑤精简资源。信息管理人员要减少冗余资源,要使资源有序,这样可以减少员工资源使用上的混乱现象。
(4)尊重员工,保持良好的关系。有些创业者在解雇员工的时候显得非常专制,比如限制员工将个人数据备份、不给员工足够的收拾物品的时间等,殊不知,这样做一方面会引起离职员工的不满和敌意,另一方面,还可能引起其他在职员工的危机感,造成不稳定因素。所以,创业者在解雇员工时也要有理有据,在保证公司内部机密的同时给予员工足够诚意的尊重。
(5)利用多种途径进行约束。要和员工签订明确的保密合同,通过各种方式来提高员工的安全意识,让员工明白如果不注意保密,或者攻击和破坏企业信息安全的后果和法律责任。
