如何避免同类事件的发生？

    保护公司重要资料不被恶意窃取、破坏，是当前商界和IT安全所面临的最大挑战之一。信息安全和数据管理不仅仅是具备一个安全治理框架和技术支持这么简单，而是需要三个关键要素——人员、流程、技术的紧密结合。只有CIO把这个意识贯彻于整个公司，才能使IT信息安全真正到位。因此，CIO应该把信息安全看作是一种公司运营层面而不是技术层面上的挑战。

    （1）IT机密信息安全策略
    企业IT机密信息安全问题自始至终都是一个比较棘手的事情，它既有硬件的问题，也有软件的问题，但最终还是人的问题。在对企业IT信息安全策略的规划、设计、实施与维护过程中，必须对保护数据信息所需的安全级别有一个较透彻的理解。安全策略必须遵循三个基本概念：确定性、完整性和有效性，这包括对设备、数据、e-mail、Internet等的使用策略。

    （2）建立规范化信息安全制度
    IT信息安全管理的根本立足点，不只是对设备的保护，也不只是对数据的看守，而是规范企业员工的行为，这是上升到对人的管理。安全设备的建立只是企业信息安全的第一步，如何在信息安全体系中有效贯彻安全制度，以及不断深化全员信息安全意识才是关键所在。光依靠技术不能完全解决信息安全问题，因为过了一段时间，一些先进的技术可能就过时了。

    （3）监控高风险用户和机密信息使用
    有时公司需要积极地监视某些角色，特别是这些角色对企业会造成极高的机密信息泄露风险，企业要监视以便发现其潜在的“不可接受”的行为。例如一位产品开发经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却应该监视其是否存在着滥用或非法使用的情况。

    （4）加强对移动设备和电子邮件的管理
    随着具有存储数据功能的移动设备如笔记本电脑、PDA、音乐播放器、闪存卡、外部硬盘、智能手机等的广泛使用，现今的企业必须面对因为这些设备而导致机密数据外泄风险。

    互联网时代，电子邮件在企业内外部的沟通中，一直扮演着十分重要的角色，但随着邮件造成的高经济价值泄漏案例也正在增多。事实上，这种通过邮件泄露的方式可以避免，只要把邮件在服务器进行备份，并制定技术扫描和IT安全分析是否存在滥用，这样就可以有效的恐吓员工在使用邮件时不会随意传递机密的资料。

    （5）以防为主，加强员工机密信息教育
    人们普遍认为，IT信息安全只是IT部门的事情，其实这并不符合实际情况。员工才是IT机密信息安全的最大威胁，因为大多数员工对其行为的危险性不以为然。IT安全责任存在于公司的各员工中，应该要做到防微杜渐，以小见大。IT安全问题人人有责、责无旁贷。应该要通过技术设备和规章制度结合起来的方式，指导和规范员工正确使用IT资源。