IT运维中的人员管理
IT 运维中的人员管理 1. 引言
当前,随着IT 技术的快速发展,为了满足企业本身的业务发展需要,实现与合作伙伴以及客户的信息往来,并保持其自身竞争力,各个企业迅速上马各种硬件系统与软件应用以满足业务所需。但是很多企业管理者都忽视了一个重要问题“企业IT 建设再先进也需要人员去管理和维护。”因此做好IT 运维环节中的人员管理才是整个企业日常运营中的基础与核心。
2. 日常运维管理
为了方便管理,我们需对企业人员进行分类。分类的方法有很多。常用的有如下几种:
1. 按照地理位置,可分为工作在企业内,如办公区或厂房的;工作企业外,如出差或在家里办公的人员。
2. 按照雇佣属性,可分为有劳动聘用关系的内部员工和外包过来的服务人员。
3. 按照专业性质,可分为一般用户和IT 人员。
而从管理的周期来看,我们可以将企业人员分成雇佣前,雇佣中,雇佣终止以及岗位调动四个阶段(如下图所示)。下面我们详细讨论一下上述各类人员的不同阶段的管理。
2.1. 企业内用户
2.1.1. 雇佣前
一个岗位在雇佣员工或聘请外包商前,应该做好该岗位的文字描述,特别要包含对应的安全角色和职责的陈述,例如:
1. 所有访问敏感信息的人员应在能访问信息处理设施前签署保密或不泄密协议。
2. 具体陈述该岗位人员对哪些信息系统、服务以及资产的访问内容和程度。
3. 如果合适,甚至可以将某些安全条款或职责条件延伸至雇佣期结束后一段规定的时间,以免该岗位人员跳到竞争对手公司工作后造成泄密。
在招聘过程中,人力资源部门应根据相关的法律、法规对所有的求职者(或外包商)进行申请人履历(或外包商背景)真实性和准确性的验证和检查。
2.1.2. 雇佣中
员工入职后来到企业的办公场所开展日常工作。在雇佣的整个过程中,有如下方面是需要每个员工特别引起重视和注意的:
1. 员工只能查阅与自己工作相关的文档,不得擅自查阅、收集、保存、复制或转发与其工作无关的信息。
2. 不得擅自将自己的工作电脑或电话转借给他人,也不可擅自使用他人电脑或电话。
3. 不得私自使用电脑进行刻录或用多功能机进行扫描与复印。
4. 不得私自增减或改变电脑的硬件配置。
5. 在打印和装订保密材料时要在封面和每页加置密级标签。
6. 短暂离开座位时应将涉密材料面朝下放置于桌面上。会议结束后及时带走涉密材料并清理会议场所。
7. 尽量不要用免提的方式打接业务电话或开电话会议。
8. 不得向供应商或合作商透露自己业务范围之外的本企业相关信息。
为了规范日常行为,加强安全意识,企业应组织所有员工,适当时可包括外包商,定期进行工作职能、组织方针及流程等方面的培训。培训的内容可因员工的角色而异。
员工要有一定的职业敏感性,有义务制止其他同事包括外包人员的违规行为和举报可能造成泄密、窃密或其他安全隐患的行为。与此同时,员工也可按照岗位角色特征对信息安全事故或威胁进行响应,向谁咨询进一步的安全建议和合适的报告渠道。企业应提供相应的举报途径(如电话号码,邮箱地址等),同时保护举报人安全。通过相应的激励的方式来实现组织的安全方针。
当然,有奖就要有罚。如果缺乏有效的管理与关怀会致使员工感觉被低估,并由此产生对组织的负面安全影响。例如,员工安全操作的疏忽或对组织资产误用甚至是滥用等。而惩戒过程应确保正确和公平,对于严重的明知故犯的情况,应立即免职、删除访问权限和特权,从而起到一定的威慑作用。
2.1.3. 雇佣终止
员工的雇佣终止过程中应确保其归还所有先前发放的组织资产,包括移动计算设备、信用卡、访问卡、软件、文件、手册和存储于电子介质中的信息等。特别需要注意到是:对于IT 相关的软/硬件系统,应删除或改变的访问权力包括物理和逻辑访问、密钥、ID 卡、信息处理设备、签名等。如果由于某种特殊原因而需要维持一个已离开的雇员、合同方或第三方帐户在企业现有系统中处于活动状态,则应在经过审批流程后,改变其密码和属性标识。
当某些员工确认已购买了原隶属于该企业的设备或一直使用着其自己的设备时,应遵循相关程序确保其内部所有相关信息已转移给企业,并且已从设备中安全删除后方允许员工带走。 对于大型企业来说,有时候分支机构人员的离职,特别是外勤人员,一定要上报总部人力资
源部门知晓。与此同时,企业还应给相关的其他人员(包括其他同事)发通知,并应建议他们不应再与该已离开的员工共享或交换信息。
2.1.4. 岗位调动
当一名员工需被调动到企业的其他部门或岗位时,其在原岗位上对信息系统和服务以及资产的的各种安全访问权限应重新被评估或修改。对不适用于或无关新的工作岗位的权限,应及时、彻底的删除。特别是那些需要销毁的文档一定要用碎纸机而非直接仍进垃圾箱或手撕。当然,员工如果要在新岗位上继续保留或使用原岗位的涉密信息,则一定要经过信息所有人都批准。
2.2. 企业外用户
员工在企业以外的场所,如果并非工作所需,不得将涉密资料随意带出;如确属工作所需,应在带出前向所在部门经理提出申请,并在离开企业时出示有效的批准凭证。在旅途中,员工应将含有涉密文件、移动介质和通讯设备随身携带,既不得随意托运也不得将其遗留在汽车或其他形式的运输工具、旅馆房间、会议中心和会议室。员工不应将涉密重要、敏感和/或关键业务信息的设备置于无人值守状态,若确要离开,应记得锁定屏幕,以防止其他人们(甚至是家人或朋友)未授权访问信息或资源。若有可能,应将其用专用锁起来(有条件的话可放入保险柜)。
企业员工出差或在家里时常需要调用企业内部信息和资源来处理工作。在所使用的终端设备上应安装防火墙或防病毒程序,并保持杀毒和防木马程序的病毒库及时被更新。而且,在该终端设备上不得安装未授权或盗版软件,有条件的话最好使用企业专有的远处访问软件进行操作。与此同时,员工应注意并尽量保证所使用的有线或无线网络的安全性,以免涉密信息被侦听和泄漏。
特别要注意到是,员工尽量不要在公共场所打接重要电话。
2.3. IT人员
除了一般用户外,和IT 软/硬件系统频繁打交道的是企业里的IT 人员。因此在日常运维中,IT 群体的安全操作与职责不容忽视。
2.000013.1. 服务台(Service Desk)
服务台可以理解为是呼叫中心的IT 服务人员,他们是用户向IT 部门帮助和提出需求的主要联系点。其安全职能包括:
1. 对接收到的与企业安全相关的事故报告、服务和变更请求时,应及时进行记录和分类,必要时更新到配置管理系统,以便后期查询。
2. 如果无法解决或确实权限,则应及时提升给IT 管理层或人力资源部门。
3. 帮助发现潜在的安全事件,如用户多次来电话所提到的某种IT 服务的安全需求,可引起警觉并建议相关部门后期跟踪与处理。
2.000013.2. 运维支持
运维支持人员是日复一日和用户直接打交道的角色,其职能包括:
1. 通过例行检查与操作,维护IT 软/硬件系统的安全性和稳定性。
2. 通过诊断和处理用户的IT 需求/问题,判断、处理修复安全相关事故。
3. 向普通用户定期发送安全相关的提醒和警告邮件,这样不但能增强普通员工安全意识,还能提高其碰到安全事件的自愈和处理能力。
4. 对用户归还的IT 设备和即将送修的破损设备做好数据清除以及消磁等清理工作。
2.000013.3. 网络/系统/应用
这些部门的人员主要运用专业技术来维护企业的信息安全,保持整个IT 服务系统在健康稳定的状态下运作。
1. 从IT 软/硬件系统的设计、架设和维护方面对服务器,网络,存储设备,数据库,目录服务,中间件,网站以及各种应用程序(包括财务/人事软件)等进行信息安全的管控。
2. 作为“二线”人员处理由服务台和“一线”运维支持人员提升上来的安全事故。
3. 及时更新各个服务器和网络设备的系统补丁和病毒库等。
4. 根据企业的安全策略监控网络和系统资源的滥用与误用情况,如有需要可以对员工运用即时通讯工具的聊天记录等进行敏感信息的侦察。
2.000013.4. 管理决策
IT 管理决策层多由一个首席信息官和IT 各子部门的带头人组成。他们与其他业务部门的代表一起组成信息安全委员会,履行如下职责:
1. 信息安全相关项目和服务变更的发起、规划和管理。
2. 定期对整个系统进行风险识别、分析、评估和管理。
3. 制定针对企业整体信息安全管理体系框架描述的信息安全的方针和手册,完善并更新各种安全管理和操作的具体流程。
4. 对供应商和外包商进行安全管理并对其合同进行风险约束。
5. 为信息安全的操作和管理提供支持,调配资源并定期审查这个系统的安全达标情况。
2.4. 外包人员
根据企业与第三方签署的服务合同,外包人员会定期以直接(如上门)或者是间接(如远程)的方式提供专业技术服务。外包人员在对企业提供服务的同时应当做到如此几点以保证该企业的信息安全:
1. 上门服务前,先联系并告知企业接口人到访的具体时间和工作内容概述。
2. 出入企业办公区域时应接受必要的安全检查。
3. 技术操作的全程接受接口人的陪同和值守。
4. 操作之前出示施工单;完成后填写并提交接口人签署完工单。
5. 有义务和责任不泄漏并保护该企业的信息和知识产权。
6. 建立例会制度,及时沟通和解决服务过程中双方发现或碰到的问题。
3. 总结
上面所陈述的有关企业里IT 运维环节中的人员管理的各个方面仅仅是本人多年来实际工作和操作的经验积累,而非应对所有挑战的万能灵药。近年来,各个企业把信息视为其核心竞争力的组成部分,业务应用因此而激增,其对IT 运维管理自然也是“高标准、严要求”。正所谓“三分技术,七分管理”,管理的对象是人员,同时管理的主体还是人员;人员既是管理的基础,也是管理的核心。因此只有通过动态发展的策略,运用科学的方法,在人员管理上“做足文章”,反复践行,才能构建出企业整个IT 服务系统的安全和稳定,信息管理才能做到有证可据、有约而循、有责可追、防范于未然。
参考文献
[1] 华为新员工入职时信息安全保密手册,华为技术有限公司, 2010年9月
[2] 17799:2005 Information technology — Security techniques — Code of practice for information security management ,ISO/IEC,2005年6月