溢信科技：防泄密管理要遵循四原则

孙武练兵，诸妇嬉戏，虽贵为王妃亦斩之；孔明遣将，要塞失守，虽为爱将亦不得不罚。律不容殊，法不容情，凡是想要建立某种规则的人都应该明白。随着 BYOD、移动互联网、云计算等逐渐进入企业，企业的信息泄露防护界线也变得越来越模糊，管控难度加大，企业急需建立有效的防泄密规则。然而制法容易行法 难，为何？

防泄密的死结

是否你的企业也存在这样的情况：在公司部署信息泄露防护系统后，首先把企业高层放到“免管控组”，之后可能还有各部门管理层、信息管控中心等等。而享受特权的管理层一旦过多，企业的防泄密工作就很难做好。
除了特权泛滥，还有不少影响企业信息泄露防护的因素，比如规则过于复杂，让人无法操作；管理太过精细，动辙得咎，让人不知所措；违反了规则，却没有惩罚措施，让规则如同虚设，最后都不去遵守；…..如此这般，如线自绕，死结难逃。

安全如炉结自断

那么究竟如何才能使企业的防泄密制度发挥实效呢？对此，西方管理学家提出了一个概念---“热炉法则”，意思是制度就像一个烧红的火炉，任何人敢触碰，就一定要让他受到“烫”的处罚，只有这样才能树立权威使人遵行。热炉法则包括四个属性，分别是警告性：热炉火红，不用手摸也知道会灼伤人；即时性：当你碰到 热炉时，立即会被灼伤；公平性：无论谁碰到热炉，都会被灼伤。适度性：被灼伤的程序与接触热炉的紧密及时间相关。

知名内网安全管理先锋溢信科技（www.ip-guad.net 微信号：溢信科技）认为，热炉法则简单而形象地阐明了信息泄露防护应该遵循的主要原则，它汇集了开诚布公、立竿见影、众人平等众多立法立信的思想，可以说 是企业防泄密一个重要的方法论。无论是国家法律，还是企业制度，关键在于一个信字，当法如热炉一样鲜明、坚定，规则与执行合二为一，信自始然。那么在企业 信息泄露防护的实践中，具体怎样实现热炉法则？结合热炉法则的四个属性，溢信科技认为企业应建遵循如下四大原则：

1、警告原则。企业应首先制定清晰的防泄密制度，并并让全体人员了解它们的重要性与紧迫性。其次通过多种形式让大家明白具体哪些行为是危险的，应该如何去 避免。溢信科技建议，单纯的规定和枯燥的说教很难让人信服，信息安全管理人员不妨多运用数据与案例，通过企业内部安全培训平台予以提醒与劝戒，让其自己认 识到防泄密的必要。

2、即时原则。企业对于触犯防泄密制度者要即时予以处罚，因为违反制度的行为与处罚之间间隔时间过长，就不能收到好的惩戒作用。如果惩罚是采取扣奖金的形式，则最好在当月或当季的考核中予以兑现。

3、公平原则。对于已经制订的信息泄露防护规则，企业应该贯彻到底。只要违反防泄密制度，无论是谁，无论其职务高低，都应该接受惩罚。这特别需要企业高层 严于律己，以身作则。三国时曹操违反自己订下的军规，尚且割发示罚，企业领导者岂能置身事外，而盼威信著于人心。而且在实际的信息泄露防护实践中，企业高 层的示范与推动对防泄密项目的成败往往起到决定性的作用。如果管理者己所不欲，即要强施于人，那必然会激起众人的不满，所谓的防泄密制度也只会流于形式。

4、适度原则。惩罚以制止不当行为发生为限，过度惩罚反而有害。要知道，企业惩罚违规防泄密制度的行为，是为了建立良好的信息泄露防护意识，而不是增加收 入。同时溢信科技建议企业应该“取之于民，用之于民”，将罚款作为开展信息泄露防护技术培训、演练等活动的基金，以帮助雇员增加防泄密知识与技能。

在信息泄露事件频发的今天，企业信息泄露防护之重要已无须赘言。保护企业的核心机密，分分钟关系到企业的生存。热炉之法，贵在坚持。密是企之基，法如明镜台，时时勤拂试，勿使惹尘埃。如此，信息安全方可得长治。