信息安全也是一种文化

PS：翻硬盘时找到的一篇2013年写的文章，已然记不清这篇文章写做的目的和具体的写做过程，虽然文章内容也没有具体的可操做性，可是，把安全打造为一种文化是企业安全意识工做的最终目标。国内安全工做作的比较好的企业，好比华为，在工做中几乎每一个研发、测试，以及其余岗位的员工都会把安全“挂在嘴边”，这就是安全深刻人心、安全已成为一种文化的状态。

---

 

信息安全也是一种文化

        良好的企业文化会深刻企业员工的心里，做为企业文化的一种，信息安全也应该是一种文化。良好的信息安全文化能够在公司范围内造成共同的态度、认识和价值观，造成规范的思惟和行为模式，它们将转化为最终的行动，共同实现公司信息安全的目标。

　　 信息安全事件的直接缘由可分为物的不安全状态和人的不安全行为。物的不安全状态指信息自己的脆弱性，如数据易损坏，网络不稳定，系统漏洞等。物的不安全状态是安全事件的根源，不管是来自外部仍是内部的威胁都是利用系统的脆弱性引起的信息安全风险事件。信息安全工做首先就要避免由于物的不安全状态形成的安全事件，主要可依靠技术手段来实现，如漏洞扫描、补丁分发、入侵检测、防火墙、防病毒软件等。人的不安全行为需使用管理的手段经过制定规章制度去约束，需使用培训讲座等方式去讲解宣贯。管理的手段虽有效果但其效果依赖于员工的监督、反馈等不少因素。不安全的行为不必定都会致使信息安全事故的发生，相反可能给人带来相应的利益或者好处，这将进一步促使下一次不安全行为的产生，并可能传染给其余同事。

 

       信息安全文化的产生，正是为了弥补信息安全管理手段的不足。经过注重人的观念、品行、心理等深层次的人员因素，经过教育、宣传、奖惩、建立群里氛围等手段，不断提升员工的安全修养，改进安全意识和行为，从而使管理制度的被动执行转变成主动的自觉听从，即从“要我遵章守纪”转变成“我要遵章守纪”。 浓厚的安全文化会像一只看不见的手引导着咱们企业的每位员工，使得员工的每一个行为都符合安全的规范，这也就是所谓的“安全修养”。

 

        总之，对人的管理包括法律、法规与安全政策的约束，安全指南的帮助，安全意识的提升，安全技能的培训，人力资源管理措施，以及企业文化熏陶，这些是成功的信息安全体系的基础，咱们把信息安全中对人的有效管理称为“人力防火墙”。从一个组织生产、管理、传播及保护信息的各个环节来看，都是人在起决定性做用，应当把这个幕后主角“人”归入信息安全的定义中去，把创建“人力防火墙”看做是实现有效信息安全的基础。

　　“人力防火墙”并非要代替传统的技术手段，它只是一种人的原有价值的回归。经过创建“人力防火墙”，不只创建起一套有效的管理体系，并且造成“信息安全，人人有责”的企业文化氛围，从而使员工成为企业信息安全的一道“最可靠防线”，实现组织信息系统的长治久安。