无论一家组织机构处于哪个行业之中,只要运营,就必须保护国家(商业)秘密、人员信息、客户信息和敏感数据。在所有的运营级别上、在所有的日常工作中,人们都会要求必须谨慎保护自己服务的组织的资产和利益。只有组织机构中的人们行动起来,组织才能实现真正的安全。对此,昆明亭长朗然科技有限公司信息安全研究员董志军称:信息资产不仅仅分布于信息系统之中,同样存在于人们的大脑之中,存在于人们日常之间的互动和活动之中,因此,我们必须建立自上而下的安全意识文化。通过在各个级别上进行推广和倡导,进而最有效地将安全意识灌输到人们的大脑之中,并影响着人们付诸于日常工作中的安全行动。
尽管企业文化工作是一项漫长的工作,但是创建或改变安全文化并不像看起来那样困难。知识就是力量,安全知识是建立一支了解安全问题的员工队伍的核心。使用信息资产并与信息资产进行交互的员工们应了解有关组织机构的信息资产所面临的潜在风险。一旦这些安全知识和倡导遍及组织的各个方面,员工们就会发现自己沉浸于安全意识文化之中。
那么,如何建立安全意识文化呢?无疑,安全教育是关键,除非接受过专门的信息安全培训或自学,否则几乎所有的新入职场人员都是安全的“无知”者,即使是一些职场老手们,如果没有定期接受安全知识方面的刷新和继续学习,也必定是如此。
安全管理团队可以采取的最有效的安全措施是对员工们进行与给定活动相关的固有风险的安全意识教育,进而使员工了解信息安全问题是整体保护组织数据的方法的重要基石。与对生产工人进行有关可能会导致产品损坏或滥用的机械和过程的安全教育类似,对当今的员工进行有关使用计算机的固有风险的教育,将为员工提供必要的工具,以防止公司和个人信息受到伤害。一旦人们意识到了这些风险,便将更加注意潜在的危害,并将努力改变其行为习惯以便在安全方面更加谨慎。
每家组织机构都有自己独特的企业文化、语言体系和操作方法。为了使组织机构的每个层次都认真对待安全性,企业文化必须适应新的工作挑战甚至艰难的变化。在组织机构的各个级别,都需要会建立和维护安全意识文化实施一些工作以及变化。如下,昆明亭长朗然科技有限公司列出相关的工作任务,供您参考。
创立信息安全团队,组织机构的信息安全团队不应只是IT部门中负责网络与计算机安全的人员,还应包括各个部门的人员,团队中的有成员都应该对安全运作有扎实的了解。
确认安全现状与问题,信息安全团队的首要工作是分析和了解组织机构的当前信息安全状态,以确定并列出组织机构当前面临的安全问题。
评估信息资产风险,如果没有执行清晰的风险分析,那么安全策略的创建将没有良好的基础。详尽的信息资产分析与评估,将有助于信息安全风险应对策略的制定,这是信息安全管理工作的源动力。
创建信息安全政策,以风险评估为指导,组织应建立适当的安全政策以保护组织的信息资产。切记,信息安全政策是后续所有信息安全工作的总纲和最高指南,制定、发布和保持信息安全政策的更新是信息安全团队的一项极为重要的工作。
信息安全责任分解,组织机构不能简单地接受或忽略安全问题,各个层级必须承担相关的信息资产安全保护责任。信息安全团队担任安全计划制定和沟通协调的重任,各层级管理团队承担领导及管理职责、专业安全团队承担专业服务职责。
各级安全知识培训,要让安全政策被各级人员所理解,让安全风险应对相关的行动计划可以执行下去,必须对各个层级提供适当的安全培训,以确保所有员工都了解他们在组织机构中的安全职责和角色,以及组织机构对他们的安全期望和要求。
创建信息安全基准要求,建立一些非常基准的信息安全包括密码强度、防病毒启用、桌面清洁等要求,这些对于适当地监视组织内部的成功和改进机会至关重要,在进行任何风险应对、控管措施和审核检查之前应明确建立这些基准。
鼓励积极的安全行动,安全文化的导向离不开激励措施,不能仅给违反既定安全要求的员工带来惩戒,同时也要为那些积极适当执行所需安全程序的人员提供激励。
制定安全事件响应计划,安全隐患和事件的觉察、报告及响应是保护信息资产免于受损和降低损失的重要流程,也是衡量安全文化成熟度的重要指标,还是不断深入安全文化建设的推力。为确保业务持续,安全团队还需要为主要系统制定备份和应急计划,以确保在发生灾难时将停工时间降至最低,能尽快恢复业务运营。
执行信息安全审计工作,要确保信息安全资产保护行动和文化建设计划的推进,必须持续检查和审核组织的安全功能,以改进相关的问题,并不断保持持续的向前推进。
最后需知,信息安全文化的建立不是一朝一夕之事,与建立成功的安全意识文化有关的主要因素之一是组织机构面对不断变化的行业和技术而保持活力的能力。组织机构不应该简单地制定政策并解决安全问题。相反,应建立对政策及其有效性的持续审查。如果某项政策无效,或者某项技术无法提供组织机构所需的功能性和安全性,请进行更改!积极的安全文化是动态的、人性化的和不断改进的。
昆明亭长朗然科技有限公司帮助各类型的组织管理信息安全中关于人员的风险。我们的专长是设计、开发、制作和交付信息安全意识培训课程。作为专业的信息安全意识教育服务提供商,我们拥有国内一流的安全培训顾问专家队伍,熟悉多种安全政策、标准、流程和指南,拥有丰富的信息安全培训经验。知识就是力量,对员工进行信息安全教育对于管理风险和应对威胁日益重要。欢迎有兴趣改善信息安全文化,需要信息安全意识教育服务或产品的客户及合作伙伴联系我们,洽谈业务合作事宜。
