2010年中國企業員工信息安全意識調查報告
報告概述及摘要
調查問卷題目設計圍繞企業員工個人及企業物品保護意識、物理環境安全意識、個人信息與密碼的保護意識、數據安全意識、社會工程意識、終端安全意識、上網安全意識、信息安全教育等涉及個人信息安全意識的幾大主要主題展開。
通過對有效調查問卷的分析與統計,發現受訪者在物理環境安全意識中的了解辦公地點的緊急通道、隨手關門、個人信息、密碼的保護意識中的電腦設置密碼,數據安全意識中的U盤外借前做安全操作,終端安全意識中的安裝殺毒軟件和防火墻設置為開啟狀態,上網安全意識中的下載軟件、正確的下載軟件途徑以及對下載軟件的安全操作等方面做的較好;
而受訪者在個人及公司物品保護意識中的工作胸卡保管、物品保管;物理環境安全意識中的出差物理環境安全、工作區域的陌生訪客;個人信息、密碼的保護意識中的個人信息網上發布、個人密碼保護;數據安全意識中的數據備份、敏感數據保護、工作資料保護;社會意識中的不明郵件、熟悉發件人發的鏈接和動畫處理方式;終端安全意識中的電腦設置屏保和密碼以及系統升級;上網安全中的網銀使用、網頁彈出的鏈接處理等方面做的相對較差,受訪者在這些方面的安全意識普遍較低。例如絕大多數的受訪者會在日常應用、辦公應用、電腦等設置密碼,但是在設置正確的密碼、密碼的正確使用、密碼的保存與更換方面大多數人存在諸多問題。
由于受訪者普遍信息安全意識的薄弱,平時的辦公與生活中較多錯誤的信息安全操作,導致超過半數(58.8%)的受訪者遇到過1、2次或者經常遇到惡意插件和病毒的攻擊,并有所損失。
調查結果還顯示,在受訪者信息安全意識普遍薄弱的情況下,而提高信息安全意識的培訓和宣貫等工作卻做的很少。接受定期的信息安全培訓受訪者僅占15.8%。
同時,受訪者在信息安全隱患的認知和有效保護信息安全面臨的最大障礙的認知方面,42.8%的受訪者認為所有的安全隱患中,個人信息安全意識不足是最大的安全隱患,然后依次是沒有安全制度或制度未落實、投入或人員不足或缺乏信息安全培訓、安全產品功能不足和其他。而對于目前有效保護信息安全面臨的最大的障礙,受訪者認為最大的障礙是普遍缺乏信息安全意識,其他依次是管理水平落后、技術不過關、法律不健全、信息安全人才不夠和其他障礙。
20大顯著問題:
1、67.9%的受訪者采取的是不鎖抽屜、不鎖抽屜鑰匙放在抽屜里和鎖抽屜但鑰匙放在桌上或筆筒等地方這些不安全的物品保管行為,僅有32.1%的受訪者采用鎖抽屜并隨身攜帶鑰匙的物品保管安全行為。
2、擁有胸卡的受訪者中,接近半數的人曾經外借過自己的胸卡。
3、在去陌生環境出差的情況下,僅有38.9%的受訪者會去主動了解自己工作或居住場所的緊急通道位置或樓層結構圖,61.1%的受訪者都選擇不會主動了解。
4、調查結果顯示,僅有30.7%的受訪者選擇了會主動詢問到自己辦公區來的陌生訪客;52.1%的受訪者選擇在看情況,不忙的時候詢問,忙的時候就不問;17.2%的受訪者選擇從來不問。
5、95.3%的受訪者曾經將自己的個人信息發布在網上;公布最多的是姓名、性別、年齡等個人基本信息,其次是網絡聯系方式、電話號碼、證件號碼、聯系地址、照片和工作信息。
6、針對日常辦公的應用,僅有14.5%的受訪者設置的密碼都不一樣,還有14.8%的人所有密碼完全一樣。
7、對于銀行卡賬戶、郵箱、QQ等涉及個人信息安全的服務的密碼設置,43%的受訪者選擇的是大部分相同或相似,選擇少部分相同或相似的占24.8%,選擇都不一樣的占25.4%,選擇完全一樣的占6.8%。
8、58.6%的受訪者半年以上更換一次密碼,或者從不更換密碼。
9、所有受訪者中,僅有26.4%的人會定期給電腦做備份,不做備份和不定期做備份的比例共為73.6%。
10、接近半數的受訪者對敏感數據沒有進行安全的分類和加密操作。
11、如果遇到與工作無關但關系要好的同事要工作資料,94.4%的受訪者會根據情況的不同,最終還是選擇給同事。12、面對內容吸引人的不明郵件,42.5%的受訪者會看郵件內容。
13、所有受訪者中,當收到熟悉發件人發送的自動播放flash動畫或郵件內部嵌入的網頁時,69%的人會看動畫、下載動畫、瀏覽網頁或點擊網頁鏈接。
14、僅有38.0%的受訪者為自己的電腦設置了屏保和密碼。
15、僅有36.4%的受訪者知道如何做且定期做升級。
16、 受訪者中有76.8%的人使用網銀,而使用網銀的受訪者中,有39.7%的受訪者在使用網銀時不使用U盾。
17、76.8%的受訪者會經常下載軟件,其中有13.7%的人會到任意的網站上下載好玩的軟件,還有26.9%的人會直接打開或使用的下載軟件。
18、47.1%的受訪者會點擊網頁上吸引自己的鏈接。
19、確定電腦從來沒遇到過惡意插件、病毒的攻擊的人數比例僅占19.6%,58.8%的受訪者遇到過1、2次或者經常遇到并遭受損失。
20、僅有15.8%的受訪者會接受定期的信息安全培訓,25.2%的受訪者是在入職時接受過信息安全培訓,而59.0%的受訪者從來沒有接受過或接受不定期的信息安全培訓。
