【文章內(nèi)容簡(jiǎn)介】 愿在全員信息安全意識(shí)教育上有所投入，而從 HBgaryFederal事件得出的教訓(xùn)就是，黑客往往能夠采用最低的成本，從企業(yè)最薄弱的人員突破，使得企業(yè)花重金打造的安全體系成了“馬其諾防線”，而實(shí)際上在提升全員信息安全意識(shí)上的花費(fèi)是所有安全投入中性價(jià)比最高的。 信息安全意識(shí)理解的誤區(qū) 誤區(qū)二：提高信息安全專業(yè)人員的技能就可以了 企業(yè)所面臨的大量安全問(wèn)題，往往由信息安全團(tuán)隊(duì)無(wú)法完全控制的原因而引起 ：?jiǎn)T工本身的安全意識(shí)。信息安全人員可以給系統(tǒng)打補(bǔ)丁、升級(jí)殺毒軟件，以及不遺余力的看護(hù)裝有防護(hù)設(shè)備的關(guān)鍵設(shè)施，但是企業(yè)安全事件還是屢屢發(fā)生，只要員工能夠收到外界的電子郵件、訪問(wèn)網(wǎng)站以及干其他類似的事情，企業(yè)就會(huì)持續(xù)不斷地出現(xiàn)安全問(wèn)題。因此，僅僅提高安全人員的能力是遠(yuǎn)遠(yuǎn)不夠的。究其原因如果不從提高全員安全意識(shí)的角度根本上來(lái)解決問(wèn)題，企業(yè)的安全工作永遠(yuǎn)都是被動(dòng)的，信息安全人員一直都會(huì)是救火隊(duì)員。 誤區(qū)三：信息安全意識(shí)教育培訓(xùn)一次就夠了 絕大多數(shù)企業(yè)和組織的領(lǐng)導(dǎo)者或者人力資源部門認(rèn)為，提高全員信息安全意識(shí)就是隨便搞搞培訓(xùn)，而且搞一次就夠了，實(shí)際上信息安全意識(shí)教育遠(yuǎn)不止搞一次培訓(xùn)這么簡(jiǎn)單。正是基于這種思想，即便搞了培訓(xùn)效果也不好，這樣就陷入了惡性循環(huán)的怪圈之中。 總結(jié)： 對(duì)于目前有效保護(hù)企業(yè)和組織信息安全面臨的最大障礙，是普遍缺乏信息安全意識(shí)。因此，提高全員的信息安全意識(shí)應(yīng)該擺到企業(yè)和組織信息安全建設(shè)的議事日程上來(lái)。 信息安全意識(shí)理解的誤區(qū) 觀點(diǎn) 觀點(diǎn)一：人是信息安全環(huán)節(jié)中最薄弱的一環(huán) 讓我們引用世界頭號(hào)黑客 Kevin Mitnick 曾說(shuō)過(guò)一句話：“人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測(cè)系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無(wú)戒心的員工打個(gè)電話 ……” 。安全技術(shù)和產(chǎn)品無(wú)法保護(hù)每一個(gè)人遠(yuǎn)離每一種可能存在的安全風(fēng)險(xiǎn)。通過(guò)提升全員的信息安全意識(shí)，讓員工建立起保護(hù)企業(yè)信息的責(zé)任感，是企業(yè)面對(duì)安全威脅的最佳方式。 觀點(diǎn)二：?jiǎn)T工信息安全意識(shí)狀況不容樂(lè)觀 在很多看起來(lái)不起眼的細(xì)節(jié)上，都隱藏著對(duì)企業(yè)致命的安全隱患。 [數(shù)據(jù)來(lái)源： GooAnn發(fā)布的國(guó)內(nèi)首份 《 中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告（ 2022） 》 ] %的受訪者半年以上更換一次密碼，或者從不更換密碼； 僅有 %的人會(huì)定期給電腦做備份，不做備份和不定期做備份的比例共為 %； %的受訪者采取的是不鎖抽屜、不鎖抽屜鑰匙放在抽屜里和鎖抽屜但鑰匙放在桌上或筆筒等地方這些不安全的物品保管行為； 如果遇到與工作無(wú)關(guān)但關(guān)系要好的同事要工作資料， %的受訪者會(huì)根據(jù)情況的不同，最終還是選擇給同事； 當(dāng)收到熟悉發(fā)件人發(fā)送的自動(dòng)播放 flash動(dòng)畫或郵件內(nèi)部嵌入的網(wǎng)頁(yè)時(shí)， 69%的人會(huì)看動(dòng)畫、下載動(dòng)畫、瀏覽網(wǎng)頁(yè)或點(diǎn)擊網(wǎng)頁(yè)鏈接； 面對(duì)內(nèi)容吸引人的不明郵件， %的受訪者會(huì)看郵件內(nèi)容； 觀點(diǎn)三 :信息安全意識(shí)教育應(yīng)全方位、立體化 企業(yè)和組織往往認(rèn)為意識(shí)教育就是搞培訓(xùn)，但是單純的、正統(tǒng)式的培訓(xùn)形式效果都不會(huì)很好，在我們最早為企業(yè)開展信息安全意識(shí)教育的事后就碰到了這問(wèn)題，最常見(jiàn)的現(xiàn)象是上面老師在講，下面員工在睡覺(jué)、手機(jī)上網(wǎng)、玩游戲 …… 培訓(xùn)應(yīng)是生動(dòng)的才能給人留下深刻的印象，并且培訓(xùn)只是眾多意識(shí)教育手段的一種，信息安全意識(shí)教育應(yīng)該是系統(tǒng)的、廣泛的、全面的、立體的，才能達(dá)到預(yù)期效果。 觀點(diǎn)四：提升全員信息安全意識(shí)應(yīng)持之以恒 企業(yè)和組織在進(jìn)行信息安全建設(shè)時(shí)，會(huì)借助建設(shè)項(xiàng)目進(jìn)行一次或幾次培訓(xùn)，然后隨著建設(shè)項(xiàng)目的結(jié)束，信息安全意識(shí)教育也就隨之結(jié)束了。 根據(jù)國(guó)內(nèi)首份 《 中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告（ 2022） 》 結(jié)果顯示僅有%的受訪者會(huì)接受定期的信息安全培訓(xùn)， %的受訪者僅在入職時(shí)接受過(guò)信息安全培訓(xùn)，而 %的受訪者從來(lái)沒(méi)有接受過(guò)信息安全培訓(xùn)。 觀點(diǎn) 信息安全意識(shí)屬意識(shí)的一種，是人所特有的一種對(duì)信息安全現(xiàn)實(shí)的高級(jí)心理反映形式；也是人們?cè)诠ぷ骱蜕钪忻鎸?duì)各種有可能對(duì)自己、企業(yè)和組織造成損失的外在環(huán)境條件的一種戒備和警覺(jué)的心理狀態(tài)。 員工只有有了信息安全意識(shí)，才會(huì)有好的信息安全行為；有了好的信息安全行為，才會(huì)有好的信息安全習(xí)慣，人人都養(yǎng)成好的信息安全習(xí)慣，才能有效保障企業(yè)和組織的安全。信息安全意識(shí)的養(yǎng)成要從習(xí)慣抓起；世界上最可怕的力量是習(xí)慣，最寶貴的財(cái)富也是習(xí)慣。而要改變?nèi)藗兩砩系牟涣剂?xí)慣，必須首先轉(zhuǎn)變?nèi)藗兯枷肷系牟涣加^念和意識(shí)。因?yàn)樵谌说拇竽X中所形成的觀念和意識(shí)，支配著人的行為，即習(xí)慣性行為，而行為習(xí)慣又體現(xiàn)并創(chuàng)造企業(yè)文化。提升信息安全意識(shí)的最終目的是要在企業(yè)和組織內(nèi)建立起信息安全文化。 從實(shí)踐中發(fā)現(xiàn)，通常企業(yè)和組織信息安全文化的建立與發(fā)展有幾種形式。 第一種是靠制度約束，設(shè)立條條框框，不能越雷池半步，這是一種強(qiáng)制文化； 第二個(gè)種是靠技術(shù)手段監(jiān)督，使每一個(gè)人在意識(shí)上產(chǎn)生不敢違章心理，這是一種壓制文化； 第三個(gè)階段是提升全員的信息安全意識(shí)，使每一個(gè)人養(yǎng)成良好的信息安全行為習(xí)慣，以及保護(hù)企業(yè)信息的責(zé)任感，并使之成為企業(yè)文化之一，由于人的信息安全意識(shí)具有能動(dòng)性質(zhì)，這是一種能動(dòng)文化。 顯然，前兩者都是被動(dòng)的，而后者是主動(dòng)的。 調(diào)查顯示 60%受訪者個(gè)人信息被盜 2022年 03月 16日 02:29新京報(bào) ] 在 “ 2022中國(guó)個(gè)人信息保護(hù)大會(huì)”上，工業(yè)和信息化部電子科技情報(bào)研究所副所長(zhǎng)劉九如透露說(shuō)，一項(xiàng)受工信部信息安全協(xié)調(diào)司委托的調(diào)查顯示， 60%受訪者