很多企业不重视信息安全,不是他们没有意识到,而是信息安全的代价确实很难衡量。平时不出事,投入见不到产出;一旦出事,却可能会全盘崩溃。可以说,信息安全管理,是一个以预防为主的管理理念,为了安全,要投入人力和金钱、时间,做信息安全,就要牺牲一时的便利,还要获得企业内的高层和各个部门的支持,这就必然要增添企业的成本,往往费力不讨好。
  尽管如此,很多IT企业还是相当重视安全问题的。他们购买了先进的设备,用于防护外部攻击和维护系统运行,配备了最好的团队,维护服务器和网络的安全运营,制定了大量的制度规章,约束员工的行为。但毕竟,设备的使用者是人,制度的执行者也是人。安全管理,也是管理,说到管理,最终管的还是人。无论配备了多好的设备,制定了多好的制度,采用了多好的技术,归结到一点,还是人。
  人有思想,人有七情六欲,难保谁不会为了私利而出卖集体利益。企业再讲究文化建设,也无法建设出一个信仰,即使有个信仰,也无法保证让每个人都去信奉。所以,安全管理,我认为,就是要怀疑一切,否定一切,以“眼里没好人”来看待一切,才能制定出适合、可行的管理制度,才能保障企业的信息安全。
  在国家保密安全领域,讲到信息安全,用的最多的一个词,就是物理隔离。即断开内部办公网与互联网的链接,或者单个计算机断开与其他网络的链接。这种极端的管理措施,虽然做到安全有效,但是方式却可以说是简单粗暴。为了安全而这样去做,作为涉及到国家高度机密的机构是可以的,做为企业,显然不行。
  那么,还是说到企业的信息安全管理,配备了安全保密设备,配备了专职网管人员,制定了措施,还差什么?
  意识。
  没有意识,意识不够,所有的一切措施,都要大打折扣。
  所以,企业的信息安全管理,首先要做的一件事,不是忙着买设备,忙着找网管,忙着编制措施,而是要从上到下,形成一个理念:信息安全,责任重大。培养全公司的安全意识:为了企业的信息安全,为了保障公司的利益,为此所投入的金钱,人力代价,都是值得的。思想统一了,认识统一了,事情做起来,才会事半功倍。重要的是,还应该把企业负责信息安全的部门看作是企业的业务促进部门,而不是一个成本部门。
  第二件事,是要确立一个观念:信息安全管理,安全目标是信息,但是管理的对象,是人,不是机器,不是设备,也不是数据。管住了人,哪怕你没采取任何安全措施或设备,企业的信息也是安全的。
  第三件事,要摆脱一个误区,树立正确的管理思想:管理重于技术。永远不要听信技术人员的一面之词,做了设置,配了设备,系统就安全了,信息就安全了,机密就得到保证了。技术只能是辅助手段,就像打仗,武器的优劣永远是排在第二位的。唯武器论导致了美军朝鲜战争的失败,同样,追求设备和技术的先进,也会遭到信息安全的滑铁卢。
  第四,要知道:安全,需要全公司上下统一认识,在高层的重视下,协调一致。中国人做事,容易以领导意志为转移。领导重视什么,员工才会去干什么。如果高层都不重视安全,你还能指望员工替你去考虑公司的安全管理问题么?没有各部门的协调统一配合,安全,永远是痴人说梦。


发表于: 2007-09-17 15:38 跳跳 阅读(1447) 评论(0) 收藏 好文推荐

本博客所有内容,若无特殊声明,皆为博主原创作品,未经博主授权,任何人不得复制、转载、摘编等任何方式进行使用和传播。

作者该类其他博文:

网站相关博文:

发表评论(网友发言只代表个人观点,不代表本网站观点或立场。)

您尚未登录,请先【登录或注册

个人档案

最近来访

加入的俱乐部

友情链接


最新评论

人为刀俎,我为鱼肉。--hua308
--【匿名用户】:E-works热心网友
一楼的朋友你好!
我公司现在有一款DG图文档卫士,其功能就是保护企业重要的图文档资料防止外泄的安全保护软件。如果你有兴趣可以和我联系。
QQ:303739116
MSN/E-MAIL:szck@w.cn--【匿名用户】:E-works热心网友
有推荐的品牌吗 
--火枪手
放狗屁,大公司为了安全都选用IPSEC VPN--【匿名用户】:E-works热心网友
楼主,好久不见了啊~~~--【匿名用户】:E-works热心网友
--软通织机监控系统
--软通织机监控系统
羊羊羊,那个放3遍的广告,早就让我深恶痛绝了,这次还来个12生肖,等以后更有钱了,说不定来个水浒108将的。--【匿名用户】:E-works热心网友
对于恒源祥的广告,我一直都很无语,从那句:羊羊羊开始。--李卓刚