信息安全知識管理 提升全員安全意識
【51CTO.com 綜合消息】在建設信息安全管理體系時,提高企業人員的信息安全意識是一項非常重要且又困難重重的任務。首先,提高員工信息安全意識是各種信息安全管理體系標準中共同的要求,無論是ISO27001系列,還是國內的等保標準,都會提到對人員的管理,以及提高人員的信息安全意識的要求;雖然在標準中提到的是“適當的意識培訓和組織方針及程序的定期更新培訓”,但培訓的最終目的,無非就是從實質上提高企業全體工作人員的信息安全意識。
其次,提高人員的信息安全意識又是安全項目中很容易被忽視的環節,提供咨詢或培訓服務的專業人員雖然會在項目期間提供一整套信息安全意識培訓課程,并為企業為日后的日常培訓留下建議和參考資料,企業員工也會為了學習相關知識而收集資料,為企業積累了大量的知識,但是企業的信息安全管理者在利用這些經驗和資源來對員工進行信息安全意識教育時,卻發現有很多困難,例如:企業有大量相關知識,分散在各個服務器、系統、個人電腦,甚至個人的頭腦中,需要時卻找不到;文檔資料存在不同版本,每個人手頭上拿到的都不一致,信息不對等,造成混亂和重復勞動;新員工入職,一時間無從下手,不知道閱讀學習哪些內容,很難進入學習狀態;關鍵員工離職,公司業務、文檔、重要數據等深受影響;公司跨地域管理,組織中的各個部門,辦事處或子公司在地里上分散,導致信息共享困難,效率低下……這些問題歸根結底都屬于同一個類型:缺乏對企業的知識進行有效的管理。
那么什么是知識管理呢?
知識管理(KM,Knowledge Management)是網絡新經濟時代的新興管理思潮與方法,管理學者彼得•杜拉克早在一九六五年即預言:“知識將取代土地、勞動、資本與機器設備,成為最重要的生產因素。”受到1990年代的資訊化蓬勃發展,知識管理的觀念結合網際網絡建構入口網站、資料庫以及應用電腦軟件系統等工具,成為企業累積知識財富,創造更多競爭力的新世紀利器。上個世紀90年代,面對著企業核心競爭力從以資本和自然資源為核心的模式轉變到以知識資本為核心的模式,Karl-Erik Sveiby 博士提出了知識管理的管理概念。
所謂的知識管理是指基于企業知識生命周期管理,整合企業內部知識資產,同具體業務流程相結合,以提高企業核心競爭力的管理模式。在知識經濟時代,對企業內部知識資本進行管理業已成為企業提高核心競爭力的必要之選。 與信息安全相關的知識亦屬于企業的知識資產,信息安全知識管理,亦屬于企業知識管理的大范疇,在知識經濟的大環境下,企業搭建知識管理平臺進行知識管理已成為幫助企業應對企業知識資本相關難題的有效解決方案。通過建立知識管理系統,整合企業內部知識資本,實現企業知識管理,能夠有效解決信息安全意識教育面臨的那些困難,即員工將更有效的利用和共享信息安全相關的知識。
信息安全知識管理所需要的平臺應該具備哪些基礎功能呢?
一、通過知識管理將信息安全知識進行積累,通過平臺保存起來。
這是信息安全知識管理的基礎。知識的積累,首先要整合知識,一方面是將員工頭腦中的隱性知識通過消化和總結轉化為可以保存在系統平臺上的顯性知識;另一方面將員工從其他地方收集的資料通過改造和提煉,提交到系統平臺上;再對知識進行整合,形成易于學習和理解的知識表現形式。其次要對知識進行評價,將整合好的知識進行評估,分析知識的價值和實用性,以便對知識進行更新。
因此在知識采集時應該能夠在企業異構、分布式信息環境下使用這樣才能為企業整合內部知識資產建立堅實的基礎。而且應該能夠支持多種資料來源,可以將不同格式資料(word/excel/PDF/TXT等)存儲于系統中。而且系統應該具備強大的系統擴充性,以實現大型企業用戶的使用。
二、通過門戶方式將積累的信息安全知識在公司內進行共享。
知識共享是知識管理的目的。因此知識在發布時需要比較靈活的目錄結構,以適應企業中復雜的知識環境;靈活的檢索和知識地圖將方便用戶在海量數據找到所需知識;完善的安全和權限管理機制使知識的共享和保密達到一個有利的平衡。
這僅僅是通常意義上對知識管理平臺的基本要求,回到我們的主題——信息安全知識管理上來。在目前市場上,專業做知識管理平臺的廠商有很多,但通常僅僅提供系統軟件,而專業的信息安全知識是任何一家軟件廠商無法提供的。企業用戶利用知識管理平臺積累信息安全知識也不是不可以,但畢竟也不是專業安全機構,從頭做起必然花費很多人力物力,因此,將專業的事交給專業的機構是現代企業的必然選擇。
北京谷安天下科技有限公司的IT風險管理系統(ITRM)正是涵蓋了以上需求的一款軟件,知識管理平臺雖然僅僅是IT風險管理系統的一小部分功能,僅僅就知識管理這部分而言,這個軟件就實現了平臺化管理知識,以及專業公司提供專業的知識本身這兩大需求。谷安天下經過多年的相關領域咨詢經驗,積累了大量的信息安全知識,并不斷的進行更新和調整,通過IT風險管理系統的“知識管理”模塊來發布,可以使客戶在使用本系統之初,就站在了巨人的肩膀上,而平臺本身具備的功能,企業可以靈活添加和管理自己的知識。
 |
| 圖1 知識地圖 |
通過系統平臺管理信息安全知識,企業員工通過使用平臺來學習和管理信息安全相關的知識,是我們進行信息安全意識教育的一種途徑,它與課堂培訓相輔相成,最終達到提高全員信息安全意識的目的。
【編輯推薦】
