信息安全意识理解的误区


就我国而言,2006年国信办组织信息安全管理体系标准试点工作,之后很多组织开展了安全管理体系建设工作;20077月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展等级保护工作。然而,无论安全管理体系标准还是国内的等级保护要求,都会提到对人员的意识教育,但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难,这与企业和组织本身缺乏对于信息安全意识教育的正确认识有关。

误区一:安全预算绝大部分都投入在产品上

现在企业和组织对安全的认识和重视程度在逐步提高,不少企业都不惜花费大量资金用于购买了网络安全设备和软件。然而,绝大多数是企业宁愿花重金在安全技术和产品上,也不愿在全员信息安全意识教育上有所投入,而从HBgaryFederal事件得出的教训就是,黑客往往能够采用最低的成本,从企业最薄弱的人员突破,使得企业花重金打造的安全体系成了马其诺防线,而实际上在提升全员信息安全意识上的花费是所有安全投入中性价比最高的。

误区二:提高信息安全专业人员的技能就可以了

企业所面临的大量安全问题,往往由信息安全团队无法完全控制的原因而引起 :员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防护设备的关键设施,但是企业安全事件还是屡屡发生,只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情,企业就会持续不断地出现安全问题。因此,仅仅提高安全人员的能力是远远不够的。究其原因,如果不提高企业全员安全意识水平,企业的安全工作永远都是被动的,信息安全人员一直都会是救火队员。

误区三:信息安全意识教育培训一次就够了

GooAnn所服务过的客户中,绝大多数企业和组织的领导者或者人力资源部门认为,提高全员信息安全意识就是随便搞搞培训,而且搞一次就够了,实际上信息安全意识教育远不止搞一次培训这么简单。正是基于这种思想,即便搞了培训效果也不好,这样就陷入了恶性循环的怪圈之中。

总结:

根据GooAnn发布的《2011年度中国企业员工信息安全意识调查报告》结果显示,对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。因此,提高全员的信息安全意识应该摆到企业和组织信息安全建设的议事日程上来。

——对有效保护信息安全面临最大障碍的认知情况

 

E-mail:market@gooann.com

Fax:010-51626887-816