信息安全文化從屬于企業(yè)文化,倡導(dǎo)良好的 就是要在組織中形成團(tuán)隊(duì)共同的態(tài)度、認(rèn)識、和價值觀,形成規(guī)范的思維和行為模式,最終轉(zhuǎn)化為行動,實(shí)現(xiàn)組織信息安全目標(biāo)。人的這種對安全價值的認(rèn)識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn),正是所謂的“安全修養(yǎng)”。如果一個企業(yè)建立起濃厚的安全文化環(huán)境,不論決策層、管理層還是一般職工,都會在安全文化的約束下規(guī)范自己的行為,安全文化就像一支看不見的手,凡是脫離安全生產(chǎn)的行為都會被這之手拉回到安全生產(chǎn)的軌道上來。
引起信息安全時間的直接原因一般可分為兩大類,即物的不安全狀態(tài)和人的不安全行為。在信息安全中,物的不安全狀態(tài)是指信息系統(tǒng)本身的脆弱性,如數(shù)據(jù)的易失性、網(wǎng)絡(luò)硬件的不穩(wěn)定性、操作系統(tǒng)的漏洞等。物的不安全狀態(tài)是安全事件的根源,外部或內(nèi)部的各種威脅利用了因系統(tǒng)脆弱性而產(chǎn)生的風(fēng)險。如果系統(tǒng)沒有脆弱性,也就沒有風(fēng)險了。因此,信息安全工作首先要了解物的不安全狀態(tài)問題,這主要是依靠技術(shù)手段來實(shí)現(xiàn),如冗余的電源,主機(jī)故障弱化系統(tǒng),操作系統(tǒng)漏洞補(bǔ)丁包、網(wǎng)絡(luò)防火墻、反病毒軟件等。
控制、改善認(rèn)得不安全行為要采用管理的方法,即用管理的強(qiáng)制手段約束唄管理者的個性行為,使其符合管理這的需要。企業(yè)信息安全管理是通過制定法律、規(guī)范、制度、標(biāo)準(zhǔn)等,約束員工的不安全行為,同時通過宣傳教育等手段,使員工學(xué)會安全的行為,以保證組織信息資產(chǎn)目標(biāo)的實(shí)現(xiàn)。管理手段雖然有一定的效果,但是管理的有效性很大程度上依賴于對被管理者的監(jiān)督和反饋,對于信息安全管理尤其是這樣。被管理者對信息安全政策、規(guī)章制度的漠視或抵制,必然會體現(xiàn)在他的不安全行為上,然而不安全行為并不一定都會導(dǎo)致事故的發(fā)生,相反可能會給他帶來相應(yīng)的利益或好處,例如省事、省力等,這會進(jìn)一步促使他的不安全行為的產(chǎn)生,并可能“傳染”給同事。在信息安全管理上,時時、事事、處處監(jiān)督企業(yè)每一位員工遵章守紀(jì),是一件困難的事情,甚至是不可能的事,這就必然帶來安全管理上的漏洞。安全文化概念的應(yīng)運(yùn)而生,正是為了彌補(bǔ)信息安全管理手段的不足。
安全文化之所以能夠彌補(bǔ)信息安全管理的不足,是因?yàn)榘踩幕⒅厝说挠^念、道德、倫理、態(tài)度、情感、品行、心理等深層次的人文因素,通過教育、宣傳、獎懲、創(chuàng)建群體氛圍等手段,不斷提高企業(yè)員工的安全修養(yǎng),改進(jìn)其安全意識和行為,從而使員工從不得不服從管理制度的被動執(zhí)行狀態(tài),轉(zhuǎn)變成主動的自覺地按安全要求采取行動,即從“要我遵章守紀(jì)”轉(zhuǎn)變成“我要遵章守紀(jì)”。
在企業(yè)中開展信息文化建設(shè),不應(yīng)該把信息安全文化看作特立獨(dú)行的事務(wù),沒有必要成立單獨(dú)的部門和開展獨(dú)立的活動,而是應(yīng)該在企業(yè)的總體理念、形象識別、工作目標(biāo)和規(guī)劃、崗位責(zé)任制制定、生產(chǎn)過程控制及監(jiān)督反饋等各個方面融合進(jìn)安全文化的內(nèi)容。在企業(yè)中也許看不到聽不到“安全文化”的詞語,但在各項(xiàng)工作中處處、事事體現(xiàn)安全文化,這才是安全文化建設(shè)的實(shí)質(zhì)。
當(dāng)然,由于安全文化對人的影響是深層次的,因此不可能在段時間內(nèi)產(chǎn)生明顯的、根本的效果,安全文化的推行是一個循序漸進(jìn)的過程,必須建立在完善的安全技術(shù)措施和良好的安全管理基礎(chǔ)上。
總之,對人的管理包括法律、法規(guī)與安全政策的約束,安全指南的幫助,安全意識的提高,安全技能的培訓(xùn),人力資源管理措施,以及企業(yè)文化熏陶,這些是成功的信息安全體系的基礎(chǔ),我們把信息安全中對人的有效管理稱為“人力防火墻”。從一個組織生產(chǎn)、管理、傳播及保護(hù)信息的各個環(huán)節(jié)來看,都是人在起決定性作用,應(yīng)當(dāng)把這個幕后主角“人”納入信息安全的定義中去,把建立“人力防火墻”看作是實(shí)現(xiàn)有效信息安全的基礎(chǔ)。
“人力防火墻”并不是要代替?zhèn)鹘y(tǒng)的技術(shù)手段,它只是一種人的原有價值的回歸。通過建立“人力防火墻”,不僅建立起一套有效的管理體系,而且形成“信息安全,人人有責(zé)”的企業(yè)文化氛圍,從而使員工成為企業(yè)信息安全的一道“最可靠防線”,實(shí)現(xiàn)組織信息系統(tǒng)的長治久安。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:營造企業(yè)信息安全文化
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121810523.html