制度比技術防御更重要!三大方法確保安全制度
安全業內廣泛流傳著“三分技術、七分管理”的說法,說明制度的建立和落地是何其的重要,據悉,超過70%的信息安全威脅來自企業內部,其核心數據的流失居然有80%源于內部人員的違規操作或管理疏忽,這樣看來我們必須要討論一下安全制度的落地問題了。
一、安全制度落地何其重要
信息安全是任何國家、政府、部門、行業都十分重視的戰略問題,談到信息安全風險的應對之道,多數流行的安全理論和標準都從制度管理和技術防范兩個方面來研究解決,二者相輔相成,通常認為制度管理在實際安全工程中的地位相對較高,是信息安全管理的基礎,建立健全各項信息安全制度是進行安全管理的***步,正如業內廣泛流傳的“三分技術、七分管理”,集中反映的也是這個道理。保障企業信息安全,無論技術防范如何健全,歸根到底還是要依托管理制度的完善,并最終落實到人的執行效果上。
根據一份針對網絡安全的專項調查結果顯示,目前,超過70%的信息安全威脅來自企業內部,其核心數據的流失實際上有80%左右源于內部人員的違規操作或疏于管理,而只有約20%來自外部的侵犯。前不久,引起世人廣泛關注的美國大兵布拉德利•曼寧通過“維基揭秘”網站公開美國數十萬份機密文件的事件,就是一個極為典型的案例,作為情報分析員,曼寧能夠一連8個月,一周7天,每天14個小時地閱讀機密情報,但他同時也可以將這些機密數據下載并復制給了“維基揭秘”的創始人阿桑奇,并由此引發軒然大波。不難判斷,曼寧所在的部門一定會有相關的管理制度,但如果不能完善并落到實處,所導致的結果將會觸目驚心。無獨有偶,在愈演愈烈的“棱鏡門”事件中,作為美國國家安全局設在夏威夷的威脅行動中心系統管理員,斯諾登也可以堂而皇之地將高密級信息順利帶出美國,沒有人否認美國信息安全技術的先進性,但與其蹩腳的管理相比,一切只能是“水中月、鏡中花”而已。因此,在信息安全管理工作中,完善和落實信息安全管理制度與技術防御相比,發揮著更為關鍵的作用!
二、如何建立行之有效的安全管理體系
目前企業內部一般都有許多針對網絡、系統、信息方面的安全管理制度,但是這些制度通常都是為某方面的安全問題制定的,沒有建立起一個系統的、分級分層的、能夠對網絡信息安全的各個主要方面都能有效約束的制度體系。而缺乏體系性的安全制度,對于大型企業來說,往往會在不同部門、不同系統、不同人員之間產生一些管理誤區和盲區,導致其權威性和嚴肅性大打折扣。
一個好的信息安全的制度體系,首先要制定目前缺乏的各級管理制度,同時完善已經制定的各級管理制度,使其自上而下對各級部門和具體應用系統都具有相應約束力。一般來講,建立安全制度體系需要遵循一定的原則,并根據制度的級別不同由相應的部門制定和監督執行。企業級的信息安全制度應由企業網絡信息安全管理部門(信息中心)來制定;部門級的安全制度由各部門在企業安全制度的基礎上根據自身特點來制定;系統級的安全制度則要根據具體應用系統的技術、管理和使用要求,同時在遵循前述兩級安全制度的前提下,由系統管理機構來制定和執行。
一個好的信息安全管理體系,還要具備較強的可操作性。目前很多信息安全制度更多的使用了綜合性的禁止性條款,如“任何部門或者個人,不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動。不得危害計算機信息系統的安全。”等等,而沒有具體的許可性條款和詳細的禁止性條款。這種大一統方式往往停留于口號和原則層次上,難以適應信息網絡技術發展和越來越多的企業信息網絡安全的具體問題,在實踐中給落實工作造成了很大的困難。因此,企業在制定信息安全管理制度過程中,要考慮到一些實際的突發情境和需重點防范的內容,圍繞這些情況,制定詳細的應對措施、操作規程和管理步驟,使被管理者在現實工作中能夠方便地遵照執行,并可以根據技術的發展和情況的變化,對管理制度及時做出適當的調整與修訂。
一個好的信息安全管理體系,還要能與技術系統相互融合、相互促進,并兼顧以人為本的原則。企業的一切管理活動都應以制度為基礎,技術系統的運轉與維護應該服務于管理的需要,管理制度的制定與完善也應考慮到技術系統運作的機械性、嚴格性特點,不能將模糊的、易變的管理制度用于技術系統運作的管理之中,同時還要設法不斷提高相關管理人員、技術人員、使用和操作人員的技術素養和道德水平,使得信息安全的管理更加專業化和人性化。#p#
三、安全制度落地三法
根據筆者的經驗,做好制度落地工作應主要從以下三個方面,入手:
一是要把制度落實作為“一把手工程”來抓。由于企業主官對于信息安全工作重視程度不足,忽視了制度落實工作,進而導致企業核心競爭力的損失往往是無法彌補的。具有戰略眼光的企業領導人一定會把信息安全當做戰略問題來抓,解決問題的關鍵就是安全制度的有效落實!有了企業“一把手”的重視和支持,“上行下效”,可以將這種執行力有效地投射到企業各個部門,在每個人的意識上也會真正重視起來;同時,還可以有效調動信息安全管理部門的積極性和主動性,通過技術設備和安全策略等多種手段預防、控制和追查失泄密行為。
二是要加大執行制度落實重要性的宣傳教育力度。安全制度的落實力度不夠,主要體現在企業人員認識不到位、防范意識不強,這種思想上的麻痹和松懈讓管理制度成為一紙空文,加大了信息安全隱患。因此,企業內部要合理利用多種時機,采用多種形式,加強信息安全宣傳教育,特別是要注重將信息安全理念融入企業文化,使員工的企業忠誠度和以信息安全意識、知識、能力和道德為內涵的信息安全素養得到同步提升;努力加深員工與企業的感情,弱化利益誘惑的動機;樹立員工良好的信息安全意識,時刻牢記信息是決定企業核心競爭力的關鍵要素,信息安全關乎到企業的生死存亡和每個人的切身利益;加強員工信息安全責任心,時刻警惕身邊的信息安全隱患,隨時完善制度上的缺陷。
三是加大對制度執行情況的督查和獎懲力度。在企業內部建立針對信息安全制度執行情況進行監督檢查的長效機制,及時發現制度執行過程中存在的問題與風險隱患,盡快組織整改落實,確保信息安全工作切實有效;同時,要把企業各部門信息安全管理制度執行情況與部門考核、個人考核掛鉤,實行一票否決制,對于因失職、安全意識淡薄、甚至故意泄露企業秘密的行為要依據法律法規和相關制度追究當事人的責任。
