北京中科皮肤医院好不好 https://m-mip.39.net/news/mipso_5252013.html最佳实践:从招聘流程开始,监控和应对可疑或破坏性行为
组织应主动识别并立即处理可疑或破坏性行为,以降低内部威胁的风险。
保护措施
组织降低内部风险的方法应该从招聘过程开始。
对潜在员工的背景调查应揭示以前的刑事定罪。这些背景调查应包括信用调查、核实证书和过去的工作经历,以及与以前的雇主就个人处理工作场所问题的能力和方法进行讨论。
在制定背景调查*策时,组织必须考虑法律要求(例如,通知候选人并获得候选人的同意)。在根据背景信息做出雇佣决定之前,组织必须考虑法律指导,包括等就业机会委员会(EEOC)的最佳实践22
以及限制使用犯罪背景调查或信用调查的州和地方法规。组织必须合法地使用背景信息,并适当考虑任何违法行为的性质和持续时间,作为基于风险的决策过程的一部分,以确定员工对关键、机密或专有信息或系统的访问权限。
组织应要求对所有潜在员工进行背景调查;承包商和分包商应与员工一样受到彻底调查。
根据通用数据保护条例(GDPR)和任何相关欧盟(EU)成员国的指南,应适当保护背景调查信息以保护员工的隐私。
组织应为所有职位分配风险级别,并更彻底地调查申请分配有较高风险或需要高度信任的职位的个人[NIST]。当个人在组织中担任更高风险的角色时,可能需要定期重新调查,再次遵守所有法律要求。
组织应投入时间和资源培训其主管,以识别和应对员工的不当或相关行为。在一些内部威胁案例中,主管注意到轻微但不恰当的工作场所行为,但他们没有采取行动,因为该行为并未违反*策。但是,在某些情况下,未能定义或执行安全策略会使员工更加胆大妄为,屡次违规严重程度升级并增加了对组织造成重大损害的风险。组织必须始终如一地为所有员工执行*策和程序,包括对违规行为的一致调查和响应。
由于经济利益是实施欺诈的动机,因此组织应警惕员工提出的任何财务问题或无法解释的经济利益的迹象。恶意内部人员在未经授权的情况下使用信息技术(IT)修改、添加或删除组织数据(相对于软件或软件系统)并谋取私利。他们还使用IT窃取导致欺诈的信息
(例如,身份盗用、信用卡欺诈)。员工财务状况的突然变化,包括增加的债务或昂贵的购买,可能是潜在内部威胁的迹象。同样,组织在应对此类情况时必须考虑法律要求,例如员工通知。
组织应制定*策和程序,使员工能够报告其同事的相关或破坏性行为。为了应对令人担忧的或破坏性的行为,组织应根据书面*策采取一致的监控步骤,以消除监控的偏见应用,甚至这种偏见的出现。
组织应调查所有有关或破坏性行为的报告,直到确定适当的组织响应。如果员工表现出有关行为,组织应谨慎应对。不应允许具有破坏性的员工在组织中从一个职位迁移到另一个职位,并回避有关破坏性或相关活动的文档。
组织应该将威胁和吹嘘恶意行为或能力(例如,“我可以进来把所有人都带出去!”)和其他关于行为的负面情绪对待。许多员工可能不时有顾虑和不满,解决这些不满的正式和负责任的流程可以满足那些可能诉诸恶意活动的人。一般来说,组织应该帮助任何员工解决他们的工作困难。
一旦组织识别出员工的相关行为,可能需要采取几个步骤来管理恶意活动的风险。这些步骤可以包括以下内容:
·评估员工对关键信息资产的访问和信息水网络访问
·查看员工最近活动的日志
·向员工提供处理导致行为的问题的选项,例如访问保密的员工援助计划(EAP)
如果员工表现出潜在的暴力行为,组织应制定全面的威胁评估和管理计划。
法律顾问应确保所有监督活动都在法律范围内。例如,不应监控员工与其医生和律师之间的私人通信。此外,联邦法律保护联邦雇员向有关当局披露浪费、欺诈、滥用和腐败的能力。因此,不应监控联邦雇员与特别顾问办公室或机构监察长的沟通。出于同样的原因,组织不得仅仅因为员工进行了受保护的披露而故意针对员工的电子邮件或计算机文件进行监控[NISTa]。
挑战
在实施此最佳实践时,组织可能会面临以下挑战:
1.共享信息组织发现很难与负责保护组织系统的人员共享员工信息。为确保遵守法律、法规和公司*策,组织必须在实施任何涉及共享员工信息的计划之前咨询法律顾问。
2.保持员工士气组织很难避免传达一种“老大哥正在监视每个员工的行为的感觉,这会降低士气并影响生产力。
.使用逮捕记录年,EEOC发布了关于使用逮捕的指南
做出雇佣决定时的记录或定罪记录,包括雇用、晋升、降级,或作为限制访问信息或系统的理由[EEOC]。该指南阐明,雇主不应依赖逮捕记录而不是定罪,因为逮捕记录不太能表明候选人实际从事了犯罪行为。使用逮捕(相对于定罪)记录来做出雇佣决定违反了EEOC所阐明的最佳做法。可能由于逮捕记录而限制对信息或系统的访问也有类似的问题,因此,此时,该组织必须在使用或披露背景调查中的逮捕记录信息之前咨询法律顾问。与此相关的是,之前的一项CERT研究表明,0%的从事IT破坏活动的内部人员有过被捕历史。最终,这种相关性可能没有意义。
年使用联邦*府的大量数据进行的一项研究表明,0%的美国成年人在2岁之前被捕。年的一项研究显示了类似的统计数据,加州有5%的人被捕被捕[蒂尔曼年]。许多内部犯罪是由29岁以上的内部人员实施的。未来针对特定工作类别的研究可能会显示在美国被定罪的内部人员以前的不同均逮捕率然而,目前,逮捕数据的使用在法律和科学上都是有问题的。
4.仅监控法律允许的通信组织必须特别注意防止监控员工与其医生和律师之间以及联邦工作人员与特别顾问办公室或机构监察长之间的私人通信。在欧盟,组织应特别注意允许向员工发出与监控电子邮件或其他电子通信相关的额外通知。
