信息安全文化從屬于企業文化,倡導良好的 就是要在組織中形成團隊共同的態度、認識、和價值觀,形成規范的思維和行為模式,最終轉化為行動,實現組織信息安全目標。人的這種對安全價值的認識以及使自己的一舉一動符合安全的行為規范的表現,正是所謂的“安全修養”。如果一個企業建立起濃厚的安全文化環境,不論決策層、管理層還是一般職工,都會在安全文化的約束下規范自己的行為,安全文化就像一支看不見的手,凡是脫離安全生產的行為都會被這之手拉回到安全生產的軌道上來。
引起信息安全時間的直接原因一般可分為兩大類,即物的不安全狀態和人的不安全行為。在信息安全中,物的不安全狀態是指信息系統本身的脆弱性,如數據的易失性、網絡硬件的不穩定性、操作系統的漏洞等。物的不安全狀態是安全事件的根源,外部或內部的各種威脅利用了因系統脆弱性而產生的風險。如果系統沒有脆弱性,也就沒有風險了。因此,信息安全工作首先要了解物的不安全狀態問題,這主要是依靠技術手段來實現,如冗余的電源,主機故障弱化系統,操作系統漏洞補丁包、網絡防火墻、反病毒軟件等。
控制、改善認得不安全行為要采用管理的方法,即用管理的強制手段約束唄管理者的個性行為,使其符合管理這的需要。企業信息安全管理是通過制定法律、規范、制度、標準等,約束員工的不安全行為,同時通過宣傳教育等手段,使員工學會安全的行為,以保證組織信息資產目標的實現。管理手段雖然有一定的效果,但是管理的有效性很大程度上依賴于對被管理者的監督和反饋,對于信息安全管理尤其是這樣。被管理者對信息安全政策、規章制度的漠視或抵制,必然會體現在他的不安全行為上,然而不安全行為并不一定都會導致事故的發生,相反可能會給他帶來相應的利益或好處,例如省事、省力等,這會進一步促使他的不安全行為的產生,并可能“傳染”給同事。在信息安全管理上,時時、事事、處處監督企業每一位員工遵章守紀,是一件困難的事情,甚至是不可能的事,這就必然帶來安全管理上的漏洞。安全文化概念的應運而生,正是為了彌補信息安全管理手段的不足。
安全文化之所以能夠彌補信息安全管理的不足,是因為安全文化注重人的觀念、道德、倫理、態度、情感、品行、心理等深層次的人文因素,通過教育、宣傳、獎懲、創建群體氛圍等手段,不斷提高企業員工的安全修養,改進其安全意識和行為,從而使員工從不得不服從管理制度的被動執行狀態,轉變成主動的自覺地按安全要求采取行動,即從“要我遵章守紀”轉變成“我要遵章守紀”。
在企業中開展信息文化建設,不應該把信息安全文化看作特立獨行的事務,沒有必要成立單獨的部門和開展獨立的活動,而是應該在企業的總體理念、形象識別、工作目標和規劃、崗位責任制制定、生產過程控制及監督反饋等各個方面融合進安全文化的內容。在企業中也許看不到聽不到“安全文化”的詞語,但在各項工作中處處、事事體現安全文化,這才是安全文化建設的實質。
當然,由于安全文化對人的影響是深層次的,因此不可能在段時間內產生明顯的、根本的效果,安全文化的推行是一個循序漸進的過程,必須建立在完善的安全技術措施和良好的安全管理基礎上。
總之,對人的管理包括法律、法規與安全政策的約束,安全指南的幫助,安全意識的提高,安全技能的培訓,人力資源管理措施,以及企業文化熏陶,這些是成功的信息安全體系的基礎,我們把信息安全中對人的有效管理稱為“人力防火墻”。從一個組織生產、管理、傳播及保護信息的各個環節來看,都是人在起決定性作用,應當把這個幕后主角“人”納入信息安全的定義中去,把建立“人力防火墻”看作是實現有效信息安全的基礎。
“人力防火墻”并不是要代替傳統的技術手段,它只是一種人的原有價值的回歸。通過建立“人力防火墻”,不僅建立起一套有效的管理體系,而且形成“信息安全,人人有責”的企業文化氛圍,從而使員工成為企業信息安全的一道“最可靠防線”,實現組織信息系統的長治久安。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:營造企業信息安全文化
相關文章
