企业内部的信息安全容易被忽视，因为不容易看到价值。平时不容易出现问题，出现问题又说不清楚，分不清权责。 不出问题还好，一出问题都是大问题。我们发现大部分人的信息安全意识是比较薄弱的的。所以信息安全的责任很多时候取决于 IT 负责人的安全意识和安全素质。下面主要讲讲我自己的一些有限的认知，讲讲企业的信息安全需要关注哪些事情。

重要账号开启 otp 或者二次验证

二次验证包括 google 动态验证码或者短信动态验证码。 仅有账号加密码的方式其实不太安全，一旦账号密码泄露，基本就可以入侵系统，或者容易被暴力破解。

离职人员要及时移除不必要的权限

下面是一个可参考清单

• 和用户相关的信息，比如导出的个人信息的文档

• 和客户相关的信息，比如导出的订单等

• 保存的 wifi 密码

• 密码库权限

• 邮箱访问权限

• 项目管理访问权限

• 企业微信访问权限

• 微信群访问权限

• 移除浏览器自动保存的密码

• 后台业务系统权限

• 数据平台权限

• 移除相关的本地密钥信息

• 移除浏览器自动保存的密码

• 云平台（阿里云，腾讯云等）账号访问权限

• 支付系统账号权限（比如在支付包和微信平台上绑定个人账号等）

• API 文档平台的权限

• 供应商系统的访问权限

• 移除代码访问权限

• 移除代码本地副本

• 数据库的访问权限

• 其它第三方系统权限

内部沟通用企微管理

• 腾讯文档用企微管理，而不是个人微信的腾讯文档账号

• 内部信息沟通群用企微

定期修改密码

有些系统没办法做二次验证，所以定期修改密码就很重要，根据不同的系统的重要性，密码的更改频率从 3 个月到 12 个月不等。 像 Linux 操作系统，一般的基线是 90 天要修改一次。

未完待续