安全业内广泛流传着“三分技术、七分管理”的说法,说明制度的建立和落地是何其的重要,据悉,超过70%的信息安全威胁来自企业内部,其核心数据的流失居然有80%源于内部人员的违规操作或管理疏忽,这样看来我们必须要讨论一下安全制度的落地问题了。
一、安全制度落地何其重要
信息安全是任何国家、政府、部门、行业都十分重视的战略问题,谈到信息安全风险的应对之道,多数流行的安全理论和标准都从制度管理和技术防范两个方面来研究解决,二者相辅相成,通常认为制度管理在实际安全工程中的地位相对较高,是信息安全管理的基础,建立健全各项信息安全制度是进行安全管理的***步,正如业内广泛流传的“三分技术、七分管理”,集中反映的也是这个道理。保障企业信息安全,无论技术防范如何健全,归根到底还是要依托管理制度的完善,并最终落实到人的执行效果上。
根据一份针对网络安全的专项调查结果显示,目前,超过70%的信息安全威胁来自企业内部,其核心数据的流失实际上有80%左右源于内部人员的违规操作或疏于管理,而只有约20%来自外部的侵犯。前不久,引起世人广泛关注的美国大兵布拉德利•曼宁通过“维基揭秘”网站公开美国数十万份机密文件的事件,就是一个极为典型的案例,作为情报分析员,曼宁能够一连8个月,一周7天,每天14个小时地阅读机密情报,但他同时也可以将这些机密数据下载并复制给了“维基揭秘”的创始人阿桑奇,并由此引发轩然大波。不难判断,曼宁所在的部门一定会有相关的管理制度,但如果不能完善并落到实处,所导致的结果将会触目惊心。无独有偶,在愈演愈烈的“棱镜门”事件中,作为美国国家安全局设在夏威夷的威胁行动中心系统管理员,斯诺登也可以堂而皇之地将高密级信息顺利带出美国,没有人否认美国信息安全技术的先进性,但与其蹩脚的管理相比,一切只能是“水中月、镜中花”而已。因此,在信息安全管理工作中,完善和落实信息安全管理制度与技术防御相比,发挥着更为关键的作用!
二、如何建立行之有效的安全管理体系
目前企业内部一般都有许多针对网络、系统、信息方面的安全管理制度,但是这些制度通常都是为某方面的安全问题制定的,没有建立起一个系统的、分级分层的、能够对网络信息安全的各个主要方面都能有效约束的制度体系。而缺乏体系性的安全制度,对于大型企业来说,往往会在不同部门、不同系统、不同人员之间产生一些管理误区和盲区,导致其权威性和严肃性大打折扣。
一个好的信息安全的制度体系,首先要制定目前缺乏的各级管理制度,同时完善已经制定的各级管理制度,使其自上而下对各级部门和具体应用系统都具有相应约束力。一般来讲,建立安全制度体系需要遵循一定的原则,并根据制度的级别不同由相应的部门制定和监督执行。企业级的信息安全制度应由企业网络信息安全管理部门(信息中心)来制定;部门级的安全制度由各部门在企业安全制度的基础上根据自身特点来制定;系统级的安全制度则要根据具体应用系统的技术、管理和使用要求,同时在遵循前述两级安全制度的前提下,由系统管理机构来制定和执行。
一个好的信息安全管理体系,还要具备较强的可操作性。目前很多信息安全制度更多的使用了综合性的禁止性条款,如“任何部门或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动。不得危害计算机信息系统的安全。”等等,而没有具体的许可性条款和详细的禁止性条款。这种大一统方式往往停留于口号和原则层次上,难以适应信息网络技术发展和越来越多的企业信息网络安全的具体问题,在实践中给落实工作造成了很大的困难。因此,企业在制定信息安全管理制度过程中,要考虑到一些实际的突发情境和需重点防范的内容,围绕这些情况,制定详细的应对措施、操作规程和管理步骤,使被管理者在现实工作中能够方便地遵照执行,并可以根据技术的发展和情况的变化,对管理制度及时做出适当的调整与修订。
一个好的信息安全管理体系,还要能与技术系统相互融合、相互促进,并兼顾以人为本的原则。企业的一切管理活动都应以制度为基础,技术系统的运转与维护应该服务于管理的需要,管理制度的制定与完善也应考虑到技术系统运作的机械性、严格性特点,不能将模糊的、易变的管理制度用于技术系统运作的管理之中,同时还要设法不断提高相关管理人员、技术人员、使用和操作人员的技术素养和道德水平,使得信息安全的管理更加专业化和人性化。#p#
三、安全制度落地三法
根据笔者的经验,做好制度落地工作应主要从以下三个方面,入手:
一是要把制度落实作为“一把手工程”来抓。由于企业主官对于信息安全工作重视程度不足,忽视了制度落实工作,进而导致企业核心竞争力的损失往往是无法弥补的。具有战略眼光的企业领导人一定会把信息安全当做战略问题来抓,解决问题的关键就是安全制度的有效落实!有了企业“一把手”的重视和支持,“上行下效”,可以将这种执行力有效地投射到企业各个部门,在每个人的意识上也会真正重视起来;同时,还可以有效调动信息安全管理部门的积极性和主动性,通过技术设备和安全策略等多种手段预防、控制和追查失泄密行为。
二是要加大执行制度落实重要性的宣传教育力度。安全制度的落实力度不够,主要体现在企业人员认识不到位、防范意识不强,这种思想上的麻痹和松懈让管理制度成为一纸空文,加大了信息安全隐患。因此,企业内部要合理利用多种时机,采用多种形式,加强信息安全宣传教育,特别是要注重将信息安全理念融入企业文化,使员工的企业忠诚度和以信息安全意识、知识、能力和道德为内涵的信息安全素养得到同步提升;努力加深员工与企业的感情,弱化利益诱惑的动机;树立员工良好的信息安全意识,时刻牢记信息是决定企业核心竞争力的关键要素,信息安全关乎到企业的生死存亡和每个人的切身利益;加强员工信息安全责任心,时刻警惕身边的信息安全隐患,随时完善制度上的缺陷。
三是加大对制度执行情况的督查和奖惩力度。在企业内部建立针对信息安全制度执行情况进行监督检查的长效机制,及时发现制度执行过程中存在的问题与风险隐患,尽快组织整改落实,确保信息安全工作切实有效;同时,要把企业各部门信息安全管理制度执行情况与部门考核、个人考核挂钩,实行一票否决制,对于因失职、安全意识淡薄、甚至故意泄露企业秘密的行为要依据法律法规和相关制度追究当事人的责任。