信息安全也是一種文化

PS：翻硬盤時找到的一篇2013年寫的文章，已然記不清這篇文章寫做的目的和具體的寫做過程，雖然文章內容也沒有具體的可操做性，可是，把安全打造爲一種文化是企業安全意識工做的最終目標。國內安全工做作的比較好的企業，好比華爲，在工做中幾乎每一個研發、測試，以及其餘崗位的員工都會把安全「掛在嘴邊」，這就是安全深刻人心、安全已成爲一種文化的狀態。

---

 

信息安全也是一種文化

        良好的企業文化會深刻企業員工的心裏，做爲企業文化的一種，信息安全也應該是一種文化。良好的信息安全文化能夠在公司範圍內造成共同的態度、認識和價值觀，造成規範的思惟和行爲模式，它們將轉化爲最終的行動，共同實現公司信息安全的目標。

　　 信息安全事件的直接緣由可分爲物的不安全狀態和人的不安全行爲。物的不安全狀態指信息自己的脆弱性，如數據易損壞，網絡不穩定，系統漏洞等。物的不安全狀態是安全事件的根源，不管是來自外部仍是內部的威脅都是利用系統的脆弱性引起的信息安全風險事件。信息安全工做首先就要避免由於物的不安全狀態形成的安全事件，主要可依靠技術手段來實現，如漏洞掃描、補丁分發、入侵檢測、防火牆、防病毒軟件等。人的不安全行爲需使用管理的手段經過制定規章制度去約束，需使用培訓講座等方式去講解宣貫。管理的手段雖有效果但其效果依賴於員工的監督、反饋等不少因素。不安全的行爲不必定都會致使信息安全事故的發生，相反可能給人帶來相應的利益或者好處，這將進一步促使下一次不安全行爲的產生，並可能傳染給其餘同事。

 

       信息安全文化的產生，正是爲了彌補信息安全管理手段的不足。經過注重人的觀念、品行、心理等深層次的人員因素，經過教育、宣傳、獎懲、建立羣裏氛圍等手段，不斷提升員工的安全修養，改進安全意識和行爲，從而使管理制度的被動執行轉變成主動的自覺聽從，即從「要我遵章守紀」轉變成「我要遵章守紀」。 濃厚的安全文化會像一隻看不見的手引導着咱們企業的每位員工，使得員工的每一個行爲都符合安全的規範，這也就是所謂的「安全修養」。

 

        總之，對人的管理包括法律、法規與安全政策的約束，安全指南的幫助，安全意識的提升，安全技能的培訓，人力資源管理措施，以及企業文化薰陶，這些是成功的信息安全體系的基礎，咱們把信息安全中對人的有效管理稱爲「人力防火牆」。從一個組織生產、管理、傳播及保護信息的各個環節來看，都是人在起決定性做用，應當把這個幕後主角「人」歸入信息安全的定義中去，把創建「人力防火牆」看做是實現有效信息安全的基礎。

　　「人力防火牆」並非要代替傳統的技術手段，它只是一種人的原有價值的迴歸。經過創建「人力防火牆」，不只創建起一套有效的管理體系，並且造成「信息安全，人人有責」的企業文化氛圍，從而使員工成爲企業信息安全的一道「最可靠防線」，實現組織信息系統的長治久安。