您已经完成了“人口普查”信息,以识别并在公司中找到机密数据。您决定出于商业目的要拥有的东西。下一步是什么?从安全性开始,现在该限制控制对数据的访问了。
这不是一个新概念。您在门口有一个锁定,以防止您的业务访问时间,人们无法在您的工厂网站上浏览。您可以保护公司的隐私秘密免受未经授权的眼睛。这就是为什么您不在网站上发布“秘密酱汁”食谱的原因。
您是否在敏感的客户或员工数据中使用相同的护理?您所有的员工都不需要对您拥有的所有机密信息不受控制。最好的程序是,谨慎的限制使员工不在他人之外时就能做工作。提供管理访问权限的更改,以更改技术能力,以在网络中进行计算机大小的更改或一些更改(例如,安装新软件)仅适用于许多可靠的员工。我们创建了一系列基于FTC定居点,封闭的查询和我们从企业询问的问题的示例。
控制对重要数据的访问。
如果员工不必将个人信息作为工作的一部分,则无需处理。对于机密文件,合理的访问控制可能与锁定机柜一样简单。对于网络上的数据,控制重要文件或数据库的单个用户帐户是一个不错的选择。
例子: 就业公司的员工有时会审查包括社会保险号的员工文件。就业公司确保为所有员工提供锁定台架。此外,该机构还具有“干净的办公桌”政策,该政策应在工人不时离开政策监视器时离开所有重要文件。由于就业机构采取步骤查看持有密钥中的文件的雇员,因此未经授权的人不太可能访问数据。
例子: 一家小公司的员工共享工作站。密码保护对负责工资的员工成员的员工信息数据库数据库的访问。负责运输的员工成员具有密码可访问客户帐户数据库的密码。通过根据业务需求控制访问,该公司降低了未经授权使用的风险。
例子: 公司提供了一个应用程序,该应用程序允许用户创建包含个人医疗信息的配置文件。该系统可访问所有员工 – IT员工,销售代表,人力资源和支持人员 – 客户资料。该公司创造了一种氛围,可以通过向不需要履行职责的员工提供对重要数据的访问,从而冒着更多机密信息。
控制管理访问。
计算机管理员可以更改您的网络设置,并有权对您的一位员工进行必要的更改。但是,就像银行只有少数人的混合在一起一样,公司也必须相应地限制政府的权利。风险很明显:不切实际的管理员 – 或许多具有行政权利的员工可以撤销您已实施的步骤以确保计算机的安全。
例子: 一家技术公司向所有员工使用相同的登录名。登录具有行政权利,有助于对分配的信息技术员工进行计算机大小的更改。但是接待员,销售助理和夏季教练使用了同一登录公司。明智的方法是,员工只需要向公司提供不同的登录名来完成他的工作所需的特权。
业务的教训是控制“舞台通行”以获取机密信息。控制履行其职责以获取重要数据的员工。
