PS:翻硬盘时找到的一篇2013年写的文章,已然记不清这篇文章写作的目的和具体的写作过程,虽然文章内容也没有具体的可操作性,但是,把安全打造为一种文化是企业安全意识工作的最终目标。国内安全工作做的比较好的企业,比如华为,在工作中几乎每个研发、测试,以及其他岗位的员工都会把安全“挂在嘴边”,这就是安全深入人心、安全已成为一种文化的状态。
信息安全也是一种文化
良好的企业文化会深入企业员工的内心,作为企业文化的一种,信息安全也应该是一种文化。良好的信息安全文化可以在公司范围内形成共同的态度、认识和价值观,形成规范的思维和行为模式,它们将转化为最终的行动,共同实现公司信息安全的目标。
信息安全事件的直接原因可分为物的不安全状态和人的不安全行为。物的不安全状态指信息本身的脆弱性,如数据易损坏,网络不稳定,系统漏洞等。物的不安全状态是安全事件的根源,无论是来自外部还是内部的威胁都是利用系统的脆弱性引发的信息安全风险事件。信息安全工作首先就要避免因为物的不安全状态造成的安全事件,主要可依靠技术手段来实现,如漏洞扫描、补丁分发、入侵检测、防火墙、防病毒软件等。人的不安全行为需使用管理的手段通过制定规章制度去约束,需使用培训讲座等方式去讲解宣贯。管理的手段虽有效果但其效果依赖于员工的监督、反馈等很多因素。不安全的行为不一定都会导致信息安全事故的发生,相反可能给人带来相应的利益或者好处,这将进一步促使下一次不安全行为的产生,并可能传染给其他同事。
信息安全文化的产生,正是为了弥补信息安全管理手段的不足。通过注重人的观念、品行、心理等深层次的人员因素,通过教育、宣传、奖惩、创建群里氛围等手段,不断提高员工的安全修养,改进安全意识和行为,从而使管理制度的被动执行转变成主动的自觉遵从,即从“要我遵章守纪”转变成“我要遵章守纪”。 浓厚的安全文化会像一只看不见的手引导着我们企业的每位员工,使得员工的每个行为都符合安全的规范,这也就是所谓的“安全修养”。
总之,对人的管理包括法律、法规与安全政策的约束,安全指南的帮助,安全意识的提高,安全技能的培训,人力资源管理措施,以及企业文化熏陶,这些是成功的信息安全体系的基础,我们把信息安全中对人的有效管理称为“人力防火墙”。从一个组织生产、管理、传播及保护信息的各个环节来看,都是人在起决定性作用,应当把这个幕后主角“人”纳入信息安全的定义中去,把建立“人力防火墙”看作是实现有效信息安全的基础。
“人力防火墙”并不是要代替传统的技术手段,它只是一种人的原有价值的回归。通过建立“人力防火墙”,不仅建立起一套有效的管理体系,而且形成“信息安全,人人有责”的企业文化氛围,从而使员工成为企业信息安全的一道“最可靠防线”,实现组织信息系统的长治久安。