雇佣的终止或变更

5.2.3　雇佣的终止或变更

当员工、合同方和第三方用户离开组织或雇佣变更时，应有合适的职责确保管理雇员、合同方和第三方用户以一种有序的方式从组织退出，并确保他们归还所有设备及删除他们的所有访问权力。

应清晰规定和分配进行雇佣中止或变更的责任。终止职责的传达应包括正在进行的安全需求和法律职责，适当时还包括机密性协议规定的职责和在雇员、合同方或第三方用户的雇佣结束后持续一段时间仍然有效的雇佣条款和条件。

人力资源部门通常与信息安全管理经理一起负责总体的工作终止处理。在合同方的例子中，终止职责的处理要与合同方代表完成，其他情况下的用户可能由他们的组织来处理。有必要通知员工、顾客、合同方或第三方用户组织人员的变化和运营上的安排。

当雇佣、合同或协议终止时，员工、合同方和第三方用户应归还所使用的组织资产。终止过程应被正式化以包括所有先前发放的软件、公司文件和设备的归还。其他组织资产，例如移动计算设备、信用卡、访问卡、软件、手册和存储于电子介质中的信息也需要归还。当雇员、合同方或第三方用户购买了组织的设备或使用他们自己的设备时，应遵循程序确保所有相关的信息已转移给组织，并且已从设备中安全的删除。

当一个雇员、合同方或第三方用户拥有的知识对正在进行的操作具有重要意义时，此信息应形成文件并传达给组织。

当雇佣、合同或协议终止时，应撤销所有员工、合同方和第三方用户对信息和信息处理设施的访问权限，或根据变化调整。工作终止时，个人对与信息系统和服务有关的资产的访问权力应被重新考虑，这将决定是否必须删除访问权力。工作的变化应反映在不适用于新的工作的权力的删除上。应删除或改变的访问权力包括物理和逻辑访问、密钥、ID卡、信息处理设备、签名，要从标志其作为组织的现有用户的文件中删除。如果一个已离开的雇员、合同方或第三方用户知道仍保持活动状态的账户的密码，则应在工作、合同或协议终止或变化后改变密码。

【例5.1】　雇佣终止引发的安全案例

6月16日，中国太平洋保险公司郑州分公司某领导办公室的电话骤然响起，电话中，该公司电脑部的一位工作人员以紧张的口气报告：“有黑客侵入了我公司数据库，部分关键数据被修改！”这个消息立即使公司上上下下大为震惊。在金融领域工作的人少有不知道“黑客”这个名词的。

这些年，随着信息技术和网络技术的发展，计算机网络在金融系统日益普及，利用计算机盗窃、贪污、诈骗、侵占银行资金的犯罪现象渐渐增多。据统计，全世界每年被计算机犯罪直接盗走的资金达202亿元，近几年来，我国金融领域发现的计算机作案的经济案件达100多起，涉及金额数十万元。但这些案件毕竟离自己太远。而现在，身边真的出现了“黑客”，这可是第一次！

经初步查明，这个黑客是在6月15日非法侵入该公司网络系统和数据库的。15日下午该公司大厅的工作人员就发现，保单上打印的公司服务电话号码不知何故被更改为寿险经理室的电话，但大家并没有多想，只是把电话又改了过来。但在当日下班之前，又有一名员工发现，一张减保的保单退保金出现不一致的现象，有关主管人员决定第二天与总公司电脑部联系确定问题原因。没想到，16日上午一上班，大厅和客户服务部骇然发现：越来越多的保单交费额异常。公司电脑部闻讯后立即组织人员进行技术分析，直到确认有人更改了部分关键数据。该公司意识到事态的严重性，立即停止了电脑系统的远程登录服务功能，对寿险系统的用户密码进行了更改，实行各部门操作密码专人保管的临时措施。同时，公司领导决定向郑州市公安局报案。

郑州市公安局公共信息网络安全监察处是全市的“网络卫士”。接到报案后，该处工作人员就在处长张某的领导下立即投入到侦破工作中。经过对保险公司的电脑系统进行实地勘验，警方认定，保险公司的数据库遭到五个方面的修改：第一，退保金比原来提高了0.025倍；第二，更改了保险单中10650个保单的交费额和给付额，更改的交费额为正确值的1.87倍，更改的给付额为正确值的1.77倍；第三，删除了保单库中1700条记录；第四，改乱了保单中一些记录；第五，更改了公司的服务电话。由于案发时正逢银行利率下调，保险业务增多，700多份保单出现错误，幸亏发现及时，将出错保单收回，否则该公司的经济利益和声誉将受到很大损害。警方在勘验中还发现，这名黑客是利用网络内部的用户名称和密码，正常进入网络，由于此人手脚比较干净，网络内未留下侵入痕迹，破案难度较大。

大家经过集思广益，认为这名黑客虽然隐蔽，但至少要符合四个条件：第一，对该公司的电脑网络系统非常熟悉，作案迅速；第二，由于数据是在半个小时内更改完毕的，一般人做到的可能性不大，此人对保险公司的业务非常熟悉；第三，此人对该公司电脑系统的网络、用户名和密码，以及系统弱点了如指掌。该黑客用的是郑州的用户名和密码，但上网端口却用的是平顶山的，表明他掌握该公司网络系统多方面的情况；第四，有作案动机，报复作案的可能性最大。到此，警方将目光集中在该公司内部和调走人员身上，经过不断排查，王某逐渐纳入了办案人员的侦察视线。王某，男，河南省沁阳县人，21岁，原是太平洋保险公司郑州分公司的职工，开始时做业务员，后来主管计算机系统的维护编程。今年3月，他认为自己不受领导的重用，因而跳槽到另一家公司，走之前扬言要进行报复。王某曾担任该公司计算机网络的系统管理员，有条件掌握计算机网络的用户和密码，嫌疑很大。网络犯罪的侦破，最难的一个环节就是取证难。指纹、脚印、气味、遗留物等传统证据在这里已经毫无用处。由于证据不足，侦破工作一时陷入困境。

7月17日，郑州市公安局局长、副局长听取了该案的工作汇报后，即刻安排抽调刑侦支队经验丰富的民警参加专案组，加大侦破力度。专案组对王某的社会关系进行了广泛的调查，发现王某近期情绪反常，并以请客为幌子，向保险公司的老熟人打听案件侦破动向。王某的犯罪嫌疑越来越大。但最直接的犯罪证据一时还难以找到。这家保险公司网络操作系统使用的是UNIX，数据库是用FOXPRO编程。由于公司网络安全制度不健全，且缺乏日常操作流程的工作日志，黑客侵入痕迹很难寻找。在张处长的带领下，民警陈某、谢某等对该公司的系统进行一次次的技术剖析。最后突然眼睛一亮：在电脑系统性的最深层，还有一个平常不为人知的工作日志！将这个来之不易的工作日志打开后，大家赫然发现：这名黑客使用该保险公司客户部的一个用户密码，通过远程登录的方式于4月13日～14日非法侵入网络四次，6月15日12时又再次侵入，时间长达28分钟。根据作案时机、条件等各方面因素综合分析，王某的嫌疑最大。7月19日，警方对王某进行了第三次传唤。这一次，专案组民警和王某进行了长达10多个小时的斗智。干警耐心地对他晓以利害，政策攻心，并将提取的电脑系统工作日志亮了出来，使王某的心理防线彻底崩溃。据王某供认，他侵入网络的动机，主要是听人说原来这家公司的经理认为他的技术不行，有的同事还说他工作干得不好，他心理上感到不平衡，就想借此方法显示一下自己的技术能力，并进行报复。他彻底承认了自己如何利用现所在公司办公室的电脑先后五次侵入太平洋保险公司网络，修改、删除寿险信息系统数据的犯罪事实。目前，王某已被刑拘，等待他的是法律的制裁。