当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。–海因里希法则
1941年美国的海因里西统计了55万件机械事故,其中死亡、重伤事故1666件,轻伤48334件,其余则为无伤害事故。从而得出一个重要结论,即在机械事故中,死亡、重伤、轻伤和无伤害事故的比例为1:29:300,国际上把这一法则叫事故法则。
再来将这个数据与Verizon 2010年度数据泄露调查报告给出的数据做一下对比。
- 85%的泄露事件并不十分困难的。
- 只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
- 高达87%的受害者在他们的日志文件里都有数据泄露的证据,但他们却错过了。
- 在受害者中,有些是需要遵守PCI-DSS标准的,但79%的受害者在数据泄露发生之前,都没能实现规则遵从。如果安全规则得到遵守,大多数的数据泄露都是可以避免的。
通过以上两组数据,我们看出在企业安全事故中,那些难度高、概率小、危害大的事故仅仅占很小的一部分,而那些危害轻微,难度小的部分则居大头。为什么会这样?上面的数据已经为我们给出了解释:不遵守安全规则。而对于为何制定的安全策略得不到有力执行,相信大家每个人都有独特而深刻的体会。其中一个主要原因便是企业抱有一种侥幸心理,以为眼下没发生安全事件、没造成危害,就是安全。因此满足于眼前的风平浪静,殊不知表面的无事与真正的安全根本是两个概念。作为企业IT管理人员,尤其是做安全管理的人员,要明确的知道:无事不与安全同。
[……]