企业数据安全管理,究竟依靠谁之力量?

有人觉得,个人很渺小,小得就像沧海一粟,敌不过天灾,躲不过人祸,会被时间的洪流淹没,会被自然的力量所吞噬。每一次自然灾难来袭,地震、海啸、飓风……人就像蚂蚁那般细小而无力挣扎!

有人相信,个人的力量很强大,强大到就像滚雪球,越滚越大,最终形成不可抵挡的力量。所以,有些人会穷尽一生的努力,去改变一个国家,一段历史。

企业信息安全管理靠“个人”?

在企业的信息安全管理中,有人认为个人的力量很渺小,凭一己之力难以去改变现有的安全状况;也有人认为每一个个人都是一股力量,只要有心就一定能做好;还有人认为……

究竟企业的安全状况要靠谁去改变呢?“个人”的力量究竟是大还是小?哪一个“个人”是改变企业信息安全状况的关键?

对此,大家都有不一样的看法,一起来看看:

A君说:安全管理需要资金投入,高层管理者不支持的话,那就啥也干不成!只有靠管理者“个人”才能有效推行。

A君认为企业内部的网络安全是企业级风险管理问题,而不仅仅是IT问题。所以要自上而下发起,项目才有可能顺利进展,管理才可能真正到位。

拿一个例子来说,一个研发制造企业,内部的IT管理状况一直偏重于网络管理,领导几乎没有经费投放在信息安全管理上。IT主管也曾向领导提出看法,认为需要通过加密的方式从源头上保护好研发部门的研发成果,但老板一直以加密影响工作效率为由不予批准。后来,一名核心技术人员离职并带走了最新的研究成果,企业造成重大损失。老板由此批准IT管理人员实施信息安全的保密部署工作,下发大笔经费,进行内部整改,并全程跟进,遇到阻力时即时出面调解,确保项目进展迅速顺利。

所以,A君认为,在一个组织内实施信息安全必须得到高层管理人员的承诺与支持,得到高层管理人员的认同和承诺有两个作用:一是相应的安全方针政策、控制措施可以在组织的上上下下得到有效的贯彻;二是可以得到有效的资源保证,比如实施有效安全过程的必要的资金与人力资源的支持,及跨部门之间的协调问题都必须由高层管理人员来推动。

B君说:信息安全部署与管理毕竟是技术性的工作,需要IT部门与安全官主导才能实现专业管理。因此,“个人”中,IT技术人员是关键。

B君以三一重工的企业案例来阐述他的观点,三一重工曾发生过“间谍门”事件,研发设计部门的机密图纸被内部人员窃取。为了保护核心资产,三一重工的信息安全事务主要是由信息IT部管理。其安全副主任凌峰表示IT部门主管企业内的所有安全保密工作,包括成立保密委员会、制定安全规章制度、设置保密措施等。三一重工作为机械制造企业,其核心的资产便是设计图纸,为了加强图纸的研发管理工作,凌峰采取了一系列的措施,包括研发基地的隔离、网络的物理隔离、禁止保密区域内使用手机、资料归橱等。与此同时,安全委员会在企业内部发起保密宣传工作,开展安全意识培训,旨在提高员工的安全保密意识。

通过专业的保密措施和保密宣传工作的结合,三一重工的机密图纸得到有效保护。领导由于忙于日常事务,而无暇亲自参与信息安全管理,但IT部门的一系列措施使三一重工内部的安全保密工作大大提升,员工也因此改变了安全观念,积极配合三一重工内部的安全保密工作。领导对此非常满意。因此说,只有让专业的安全人员来管理企业内的安全工作才能达到专业有效的保密效果。

C君说:企业要想打赢信息安全战争,需要“全民皆兵”,员工的“个人”力量,是企业构筑信息安全竞争优势强有力的“防火墙”。

C君认为信息安全的管理工作不是老板或者信息安全官一个人的事情,是企业内每一个成员都有责任去守护的使命。尤其是人数众多的大企业,普通员工的安全意识不提高,光靠高层管理人员的力量,很难去有效防范风险。用木桶原理来说,企业的安全水平不取决于专业人士的水准,而取决于普通员工最差的程度,如果企业员工不具备相应的安全意识,这即会成为企业的安全短板。

外国的企业非常注重内部整体的安全意识,因此,入职时安全意识培训便是员工必修的基础课,在工作中,企业也同样会通过各种小伎俩来考验员工的安全意识是否达标。安全官会模拟黑客向员工发送钓鱼邮件,一旦员工点击查看,第二天便会接到安全培训的通知。每一次的培训,除了结束后的安全考核,更多的是在工作中时时检验。通过这样的方式,确保每一个员工的安全意识都达到保护企业信息安全的标准。

由此,C君认为,员工个人力量对保护企业信息资产和敏感数据具有重要影响,他们每个人都是企业“人力防火墙”中的一部分,任何人的疏漏都可能危及整个企业的信息安全。

企业信息安全中,究竟哪一个“个人”才是关键力量?哪一个力量能实现企业信息安全管理的长治久安?对于以上大君们的说法,大伙们有不一样的看法吗?欢迎来交流~~

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注