作者:卢苗苗 / 日期:2010-04-12
为了解决非公占用带宽及信息安全的问题,张浩的公司最近打算实施上网行为管理系统。但是面对系统无处不在的“监控”功能,张浩认为拿捏好公司管理要求和员工隐私之间的尺度,是他在系统上线前首先应该想明白的事情。
通过在ITValue社区中发贴咨询,张浩了解到约有2/3的企业已经使用或愿意使用类似的系统,其主要目的都是为了加强信息安全、改善网络环境和提高工作效率。而如何平衡系统监控与员工隐私之间的矛盾,也是大家普遍面临的问题。
集中同行们的建议,围绕上网行为管理的目的,张浩逐步理出了思路。
重在沟通,制度先行
根据经验,CIO们普遍认为“监控”是手段而不是目的,说到底都是为了更好的保护公司和员工。所以实施前公司最好先跟全体员工沟通此事,让大家了解规范管理的初衷和系统的功能所在,引导员工消除抵触情绪,合理使用公共资源。
可先由IT部门牵头,基于法律合规,建立完备的信息安全管理制度;公司正式发文公示,明确监管审计的范围和考核标准;授权IT及其他相关部门定期审核;新员工入职时要告知公司相关的制度规定和上网要求。通过制度的完善和推行,培养员工信息安全的意识,自我约束做到有可为有可不为。
监控力度灵活把握
通过上网行为管理系统实现有效管控,最常规的做法是限制带宽、关闭即时通讯和下载工具,此外还有启动内部OA系统管理;屏蔽不适当网站或过滤关键字;使用部分公用电脑放开流量;虚拟化桌面集中控制管理;瘦客户端应用等。
在用这些技术手段合理地改善网络环境的过程中,CIO还要考虑内部客户的实际应用需求,因人而异,因岗位而异,把握监控的力度。比如关键岗位可考虑优先放开带宽和使用工具,工作时严格管控而在非工作时间适当放松。对公司资源的使用情况进行必要的监控无可厚非,但是作为独立个体存在的“人”,情感上被尊重被保护的诉求也是客观存在的,因此对聊天记录应该采取不监控不公开的作法。
配合奖罚做精细化管理
另外,CIO还应定期审计网络使用情况,分析统计结果,对员工上网行为做相应的奖罚以提升监控效果;同时还有CIO提出,通过量化考核指标进行员工行为的精细化管理,激发员工工作热情,提高工作效率还是治本之道。试想一下,如果每个员工都责任明晰,工作分配合理,为了达到目标追求个人更好的发展,自然是心无旁骛,谁还会有时间搞“小动作”呢?
总之,上网行为管理,重在“疏”而不是“堵”。配套的管理系统可以从技术角度更科学地配置公共资源,但CIO在使用这些系统时切勿闭目塞听,一味采用简单粗暴的高压手段只能适得其反。IT部门在具体实施时不要扮演强势角色越界管理,而应加强沟通,通过弱化上网行为管理系统功能,尊重和保护员工个人隐私,让大家更易于接受这样的管理方式。这样既能提高工作效率,维护信息安全,又不至于挫伤员工的工作积极性。
来自ITValue社区的建议:
我想企业里做上网行为管理关键目标就是解决员工上班时间做私事的“小心眼”,还是为了信息安全?我想这个需求必须和内容监控严格区分开来。
我们做内容监控的主要目标是信息安全。
如果主要目标是解决滥用网络问题,减少出口流量的滥用,那只要对出口做qos控制,禁止p2p的流量,设置白名单目标地址组,提高qos等级,其他网站都降低等级。限制每个用户的并发链接等手段都很有效。
如果是担心无关上网影响工作效率,其实很简单,禁止使用qq、msn,但是效果未知,他们还可以泡电话不干活。
如果是为法规相关的信息安全,则需要对关键字进行过滤,那就只有选择你测试的设备了。
──徐伟 上海大学信息化工作办公室主任
我们也有用类似系统,采取的路线主要有以下几个:
1、部门带宽限制,只控制总的部门带宽,每季度提交给部门经理带宽使用情况统计
;
2、“弱化”上网行为管理系统的“能力”;
3、配合公司发文的管理制度;
4、从最严厉的开始执行;
5、瘦客户端应用。
──王煜 云南白药集团IT主管
我的几点意见:
1. 制定管理规章要严,执行中稍松;
2. 要让员工明白网络带宽、PC都是公司资源,是用来工作的,任何“私活”都是侵犯公司利益;
3. 对工作期间上色情网站的员工零容忍,一旦发现,立即开除;
4. 封杀即时聊天,工作需要,特别开通;
5. 每月统计分析,行为过分员工要给予警告。
──王志浩 海信集团副总裁兼CIO
建议采用虚拟化桌面、集中控制和管理,又解决了信息安全问题,同时每个员工有虚拟桌面虚拟应用,个人的信息资料还在个人那里。由于是虚拟化前端,只用浏览器,所以不会有大流量信息在网络上,也解决了网络带宽占用等问题。
──林丽 东亚银行首席信息官
试过,有点可怕,查看监控的内容也是件很头痛的事,一不小心看到隐私,对看的人也不是很好,所以最终还是撤了。我使用的策略是,不监控内容,但限制应用与带宽,所有员工桌面都是虚拟化桌面,终端电脑都是经过改造的MiniLinux系统,就是一个终端,什么都干不了,还解决了我N多的旧电脑的问题。
──茅晓栋 亚士漆(上海)有限公司IT经理
其实管理网络应该和管理高速公路类似,主要控制速度、流量,至于什么货物,只要不违法就可以。上网是工作还是玩,关键在于公司的管理,做到精细管理了,考核按量来,自然也就不玩了。同样两个人,分配一样的工作任务,拿一样的工资,先干完的玩玩也没关系。所以不要管员工上网干什么,而要看如何调动员工积极性,不做工作无关的事情。现在这种办公条件,一个人电话所有人都得听着,好像以前没人搞过电话管理。监听、切断……为何越是技术进步了,越是搞些低下的监控手段?──王万 中国葛洲坝集团股份有限公司 信息管理
讲一个故事给大家。几年前,宁波北仑有个家伙为了敲诈一家大酒店,屡次写敲诈信,结果人家不理他,他就真的搞了一个爆炸物,在大酒店门前引爆了,还好威力不大没伤到人,只炸坏了一辆摩托,公安震怒,立马破案抓到了罪犯。没承想一个星期不到,在北仑当地的一个人气很旺的论坛上,有人在招募爆破高手,说要炸掉正在修建的某处高速公路,因为影响他休息。公安再次震惊,立马追查,通过IP发现此帖是从某个企业发出来的,就马上杀到这个企业。因为没有相关设备可以提取记录,最后只好通过检查HR的资料,查到住在高速公路工地边上的公司人员,一个个访谈,最后终于查到是他们的生产部经理所为。因为天天打桩,实在睡不着,就在论坛发个帖发泄一下。事后公安要求区内管辖的大的企业单位都必须配备类似的管控设备,记录上网的行为,保留3个月备查。
──陈罡 贝发集团股份有限公司信息管理部经理
这只能说明堵住群众意愿的恶果。如果靠高压来压制,监控来管制,结果只会出来更大的爆炸,而且根本不告诉你。直接就炸了。
──王万 中国葛洲坝集团股份有限公司 信息管理
首先对于员工上网要有一套指导准则,譬如员工在个人博客发表的内容必须申明是个人意见还是代表公司,公司内部消息不能随意公开等,必须让每个新来的员工都知道这些条例。屏蔽不适当的网站,譬如色情网站,和影响大部分员工、却与工作无关的网站如淘宝、开心网等。
重要的是明白使用上网行为工具的目的。目的不是要监察员工,而是保护公司和员工。IT不需要强势,就能达到很好的效果。譬如定时发信息给公司所有的员工,把网络带宽的应用情况公布出来,让员工知道IT有工具对他们上网留纪录,而且有人定时检查,绝大部分人都会循规蹈矩,基本上问题都解决了。偶尔有“出格”的用户,只要不给大家造成问题就放他一马。因为我们的目的不是监控员工,而是维持一个正常可用的网络环境。
──黄加雄 洲际国际酒店信息技术总监