“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
在当前的数据化时代,数据安全成为很多企业发展的重点关注对象,如何保护数据安全是数据安全运营中的重要一环,而数据安全离职审计作为数据安全的最后一道防线,在数据安全运营中有着举足轻重的地位。接下来我会根据我的实战经验,向大家介绍一下我在做数据安全离职思路和实践落地,希望给有需要的同学带来帮助。
01
—
数据安全离职审计的驱动力
1、法律合规要求
随着《数据安全法》《网络安全法》《个人信息保护法》的实施,防止数据泄露成为企业的义务,而数据安全离职审计做为其中重要一环。
2、企业声誉和财务风险
数据泄露的发生将对企业声誉带来巨大影响,声誉的影响会影响到收益。
1、制定明确的离职审计方案
根据自身企业特点,完成明确的离职审计方案的制定,包括范围,流程等
各个公司单位需求不同,范围,流程自然不同。
2、确认审计的范围和流程
1)离职审计的范围需要从人和数据两个角度考虑,且审计的数据范围要有明确的可操作性,可具体落地的内容
人:确认需要审计的范围,那么常见的会觉得应该所有员工进行离职审计,而企业中人不止包含了正式员工,还包含了有员工属性的人员,包括人力外包人员,劳务派遣人员,项目外包人员,实习生等。
2)确认审计嵌入流程
在常见的公司中,离职人员的入离职均需要进行流程的提交,数据安全离职审计流程嵌入其中,可以作为获取离职人员离职的重要入口,以及判断人员是否可以正常完成离职的重要手段
在发展员工出现异常时,及时卡住流程节点,展开深入调查
3、收集审查数据和记录
通过技术手段,不同公司可以根据自身对于数据安全运营现状去选择不同的技术手段,核心是可以审查到员工在职,离职期间的所有敏感数据,公司商业秘密的系统
如:行为记录,操作记录等进行审查
4、评估和报告审计的结果
根据审计报告的内容,结合内部的制度给到对应负责人评估,这个涉及到数据安全运营有没有此类职业,如无,是无法提供判断的,只能提供技术上的支撑,展示实际内容。有些公司把数据安全合规职责给到数据安全运营人员,而有些公司数据安全运营员工,只负责技术层面。此处需要具体问题具体分析
5、根据报告完成数据安全离职审计
根据报告的风险评估结果,对有问题的员工措施,包含但不限于承担法律责任,额外签订保密协议等措施。
数据安全离职审计的运营要求
1、及时性与主动性
需要在离职员工在离职前完成,确保了及时性和主动性
2、全面性和针对性
针对人的范围要全面覆盖到所有会接触到的人,针对数据要全面覆盖到所有敏感数据,商业秘密等。针对离职员工的离职原因不同,人员工作属性不同,针对性关注离职情况。
3、技术运用
充分利用技术手断,如:数据防泄漏系统,各种日志分析工具,自动化系统自动输出报告,提高效率和效果
4、法律法规的遵循
审计过程要确保合法的要求
5、员工意识培训与提升
通过内部制度的宣传推广,培训,来提升员工的意识
6、持续改进
持续复盘,持续改进措施,及时发现数据安全离职审计的问题,及时发现公司存在的隐患,预防数据的泄露。
总结
数据安全离职审计是企业数据安全的必要环节,企业应重视离职审计的流程和最佳实践,建立健全的数据安全管理体系,加强员工的数据安全意识培训,利用技术手段提高审计效率和效果,与专业机构合作,提升审计的专业性和权威性。让我们共同守护数据安全,为企业的长远发展保驾护航!
