問：我們公司最近產(chǎn)生了一次安全事件，一名員工明知故犯，將敏感數(shù)據(jù)下載到個人USB記憶棒中。我建議公司開除這名員工，但管理層卻決定放他一馬。我如何向管理層闡明，這一處理決定可能會對未來的安全政策履行造成極其嚴重的影響呢？

答：很遺憾，這個問題是當今許多公司的安全專業(yè)人士和主管面臨的眾多挑釁之一。這一特別問題往往層出不窮：違背USB安全政策的員工同時也深受公司器重，由于其具有的專業(yè)知識或豐富經(jīng)驗，其他人通常難以輕易取而代之。

下面是我以前尋求管理層的支撐時曾經(jīng)采用過的一些方法，以資借鑒。首先，你可以嘗試向你的直接上級（CIO、CFO或安全總監(jiān)）匯報，使其明白此類事件的當前成果和長期影響。在匯報中，既要盡量避免應用太情感化的詞語（例如，你剛才應用的“極其嚴重”一詞可能過于夸張），但又要明白指出，這一處理決定可能不符合公司的最佳利益。因為其他員工可能會認為，這種處理暗示了某些安全政策可以不履行。

其次，你可以建議管理層考慮在該員工的人力資源檔案中裝入一份文件，闡明他或她曾經(jīng)違背公司的安全政策（包含這一事件產(chǎn)生的日期、時間、證明人等），并受到某種警告（最好有書面記錄）。

再次，你可以以此次安全事件為契機，開展內部宣傳運動（例如通過廣播電子郵件、海報等），提示全部員工，數(shù)據(jù)保護對于每個人——員工、客戶、供給商以及全部公司都非常重要，從而防止此類安全事件再次產(chǎn)生。

然而，在內部宣傳運動中，注意不要引用任何諸如“處理直至開除”之類的處分規(guī)矩。由于公司最近產(chǎn)生的這一安全事件，更多對履行安全政策持猜忌態(tài)度的員工將會不信任這類消息。

最后，制定一份“完整備選計劃（Cover Your Alternatives，CYA）”文件，其內容應包含該安全事件的總結文檔、你與你的直接上級的對話、防止此類事件再次產(chǎn)生所采用的舉動等。CYA文件記錄了安全事件產(chǎn)生時公司所采用的舉動以及相干的材料，在將來對此次安全事件進行分析或審查時，可以充分證明安全事件管理的有效性。