下载
加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 如何提升组织信息安全意识

如何提升组织信息安全意识.doc

如何提升组织信息安全意识

Ava朵朵
2019-05-26 0人阅读 举报 0 0 暂无简介

简介:本文档为《如何提升组织信息安全意识doc》,可适用于IT/计算机领域

信息安全意识为先如何提升组织信息安全意识 作者:谷安天下 刘敬国世界头号黑客KevinMitnick曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备可只要有人给毫无戒心的员工打个电话……”。由于缺少足够的信息安全意识他们往往因为自己的便利而违反信息安全规章也往往意识不到因为自己的这种行为会将其他同事乃至整个组织推向危险的境地。在很多看起来不起眼的细节上都隐藏着对组织致命的安全隐患让我们列举一组数字来说明:数据来源:GooAnn发布的国内首份《中国企业员工信息安全意识调查报告()》的受访者半年以上更换一次密码或者从不更换密码仅有的人会定期给电脑做备份不做备份和不定期做备份的比例共为的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的物品保管行为如果遇到与工作无关但关系要好的同事要工作资料的受访者会根据情况的不同最终还是选择给同事当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时的人会看动画、下载动画、浏览网页或点击网页链接面对内容吸引人的不明邮件的受访者会看邮件内容……由此可见组织迫切需要提升全员的信息安全意识对员工进行信息安全意识方面的教育让员工建立起保护企业的责任感才能够整体提高组织的信息安全水平。那么组织如何开展信息安全意识教育呢?本文将结合作者在信息安全咨询与培训多年的实践和经验进行探讨。首先必须对意识的本质有清晰且深刻地认识了解其形成的规律。意识是人们对事物的初期认识在长期的锻炼学习中所获得的一种对事物的价值观与评价。意识的本质是客观对象的主观映象是对客观存在的反映是在长期工作和生活中大脑自然产生的结论会形成一种精神上的条件反射因此要想形成这种条件反射就需要经过一定的时间不断地进行刺激。信息安全意识属意识的一种是人所特有的一种对信息安全现实的高级心理反映形式也是人们在工作和生活中面对各种有可能对自己、企业和组织造成损失的外在环境条件的一种戒备和警觉的心理状态。由此可以总结出:意识的养成与传统的培训是不同的意识是大脑自然形成的条件反射要想建立起这种条件反射需要通过长期的、有效的刺激。举个例子我们在过马路的时候都会下意识地左右张望确认没有危险才会通过而这种意识是如何形成的呢?小时候就被家长或老师告知过马路要小心并且看到过别人被撞或者自己亲身经历过被撞体会到了发生事故的痛苦并且我们每天都在经历过马路这个事情。信息安全意识的建立也是同理只有认识到了这些并针对意识形成过程的规律进行开展相关的意识教育工作才能取得事半功倍的效果反之则事倍功半效果自然也不会好。其次需要分析信息安全意识难以形成的原因这样才能“对症下药”。我们对曾经服务过的客户做过分析基本上可以总结为三类原因:第一类:确实不知道可以用两句话来进一步解释即为“不知者不怪”和“无知者无畏”。由于组织没有告诉员工应该怎样所以才导致了员工的一些错误行为也正是由于员工的不知道可能会导致什么后果所以才敢这样做。第二类:知道但不重视或者忽视这种现象在组织中非常普遍。所有人都知道应该怎么做可是做了和不做没有什么区别最终出于自己方面就不按照正确的方式做。第三类:存在侥幸心理认为自己事情不会发生在自己头上。人们经常会有这种想法我没有那么倒霉被轮上或被发现正是基于此才导致了错误行为的发生。针对第一类组织从员工与入职开始直至员工离职的整个过程中都需要向员工不断地传递组织倡导、要求员工做什么禁止怎么做并且是通过有效的渠道来传递以确保员工能正确的获取这些信息。针对第二类组织要建立相应的信息安全奖惩制度那种不痛不痒的奖惩措施形同虚设具体的奖惩尺度要结合组织情况因地制宜总之要对员工有所触动。就像之前酒驾屡禁不止在年实施了酒驾新规之后酒驾数量在全国范围内迅速大幅下降。针对第三类可以分为两个方面一方面要让员工知道由于缺乏安全意识采取了错误行为所导致的严重后果有哪些、有多严重另一方面就好像高速公路上的摄像头以及交通事故录像一样可以通过技术手段配合以及现实案例来消除员工的侥幸心理。再次要了解组织中不同人员的特点。实际上组织内从管理层、到安全技术人员、再到所有普通员工都需要建立信息安全意识(关于这一点请参见《信息安全意识为先提升组织信息安全意识的重要性》)但是由于这些人职责、技术能力等不同对他们信息安全意识教育的侧重点也有所不同。对于普通员工应侧重在组织安全策略和规定、基本安全操作技能、错误行为的不良后果、让其知晓信息安全人人有责等等对于技术人员应侧重在组织安全策略和规定、违反后要承担的后果、以及所在岗位的信息安全责任等等对于管理人员在普通员工的基础上应侧重在信息安全理念、安全组织与决策、安全架构与规划、风险管理意识、以身作则等方面。最后应理解信息安全意识教育是系统的、广泛的、全面的、立体的才能达到预期效果。即信息安全意识教育也是需要规划的信息安全意识教育的形式要多样化。组织往往认为信息安全意识教育就是搞培训但是单纯的、正统式的培训形式效果都不会很好在我们最早为企业开展信息安全意识教育的事后就碰到了这问题最常见的现象是上面老师在讲下面员工在睡觉、手机上网、玩游戏……。即便是培训也应是生动的才能给人留下深刻的印象并且培训只是众多意识教育手段的一种。正是基于以上的对于信息安全意识的深刻理解我们开发了“安全易视”系列产品包括了信息安全手册、动画、手册、培训、辅助用品等等可以总结为“安全意识”立方。有了丰富生动的信息安全意识教育产品该如何应用到组织之中呢?对此我们经过长期的实践和探索总结了一套行之有效的实施方法可以根据组织的特点和具体情况进行优化。参见下图:在员工入职进行入职培训时向其发放信息安全手册使其明确必要的知识以及企业的要求即什么是企业所倡导的什么是企业所禁止的在办公室、走廊等公共场所张贴信息安全海报使员工每天一走一过当中、抬头休息的时候就能看到潜移默化地影响员工的意识行为。海报更换频率以周为宜由于每天都频繁接触时间长了之后员工就会失去兴趣定期向员工发放或让其下载一或两个信息安全Flash动画来观看视频动画对于员工是最有吸引力的真正实现寓教于乐但再好的东西也天天看也会失去兴趣因此频率以半月为宜这样可以让员工有所期盼每月以邮件形式向员工发送信息安全电子报可以包含本月已经投放过的海报、Flash动画来加强刺激同时还可以包含信息安全事件新闻、案例分析、以及企业事件通报等内容每个季度更新在企业大堂、宣传栏、工会活动地点等地的宣传板使员工了解企业近期的信息安全活动目的是使员工了解企业对于信息安全工作的态度是持之以恒常抓不懈如果企业和组织建立了内容部的elearning系统可以把信息安全在线课程内置到系统中作为强制培训内容要求员工必须在规定时间内完成课程但此类强制课程不易过多过频以半年或一年一次为宜企业和组织每年至少应组织一次全员的现场培训一方面以交互性讨论的形式宣传信息安全知识另一方面可以传达企业和组织对于信息安全的重视以及一年之中企业和组织信息安全一些新的变化和要求辅助用品企业和组织可以根据具体情况决定是否投放以及投放的时间和频率如果企业每年都要制作这些东西那么以信息安全意识推广为主题会是一个不错的选择。本文上面曾经阐述过信息安全意识教育应该持之以恒才能养成良好的信息安全习惯进而才能保障组织的安全。在实践中我们发现组织在进行信息安全建设时会借助建设项目进行一次或几次培训然后随着建设项目的结束信息安全意识教育也就随之结束了。根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告()》结果显示仅有的受访者会接受定期的信息安全培训的受访者仅在入职时接受过信息安全培训而的受访者从来没有接受过信息安全培训。因此我们认为提升全员的信息安全教育意识是一项长期的工作不能指望凭借“三分钟热情”一蹴而就而应该坚持不懈才能最终在组织内建立起信息安全文化。

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/6

如何提升组织信息安全意识

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利