信息安全意识的重要性


 信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。

 据Delphi公司统计,公司价值的26%体现在固定资产和一些文档上,高达42%的价值是存储在员工的脑子里,而保护这些信息资产最有效的手段就是提升员工的信息安全意识水平。

 同时,信息安全意识的薄弱正在成为企业面临的最大风险,忽视信息安全意识教育,可能遭受灾难性的打击。员工只有有了信息安全意识,才会有好的信息安全行为,才能有效保障企业和组织的安全。

由于缺乏信息安全意识引发的信息安全事件层出不穷

       据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。




员工打开恶意邮件导致企业网络遭到非法入侵

 20166月,日本大型旅行社JTB宣布,因员工打开恶意邮件导致网络遭到非法入侵,有近800万客户资料外泄,包括姓名、地址及护照号码等。办案人员称,该恶意邮件伪装成全日空(ANA)发来的电子邮件。员工打开该邮件后,导致电脑及服务器中毒,大量资料被泄露。

 

希拉里邮件门事件

 希拉里在担任美国国务卿期间,违规使用私人电子邮箱和位于家中的私人服务器收发大量涉密的邮件涉嫌违反美国《联邦档案法》,2016年夏季,美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵,近2万封邮件被维基解密披露。

 

勒索软件来袭,全球一百多个国家遭受攻击

2017512,一种名为“WannaCry”的勒索病毒在全球范围内突然爆发,该病毒通过电子邮件、共享设备等渠道迅速蔓延,全球150多个国家和地区的政府、电力、电信、教育、医疗机构等超过30万台设备被感染。勒索病毒一旦成功入侵,用户的办公文档、图片等文件将被恶意加密,并要求支付300-600美元赎金获取被加密文件。

 

国家法律法规对重点行业和领域提出信息安全意识传教育相关要求

201761我国施行了《中华人民共和国网络安全法》,其中第十九条明确规定:各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域提出信息安全意识教育相关要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。

国际、国内标准要求开展人员的信息安全意识教育工作

ISO270012013国际标准:

7.2.2 信息安全意识、教育和培训

实施指南:信息安全意识培训方案旨在使雇员,适当时,包括承包方人员,意识到他们的信息安全 职责以及履行职责的方法。

 

信息安全技术信息系统安全等级保护:

5.2.3.3 安全意识教育和培训(G1)

a) 应对各类人员进行安全意识教育和岗位技能培训;

6.2.3.4 安全意识教育和培训(G2)
7.2.3.4
安全意识教育和培训(G3)
8.2.3.4
安全意识教育和培训(G4)

a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;

行业监管要求(部分)开展员工信息安全意识培训教育工作:

中央企业商业秘密信息系统安全技术指引

中央企业商业秘密保护暂行规定

关于加强党政机关网站安全管理的通知中网办发文【20141

【人行】《金融行业信息系统信息安全等级保护实施指引》(第23级)

《商业银行信息科技风险现场检查指南》

《证券期货业信息系统安全等级保护基本要求(试行)》 1.3.2.1   是否至少每年对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。 


E-mail:market@gooann.com

Fax:010-51626887-816