日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

安全業(yè)內(nèi)廣泛流傳著“三分技術、七分管理”的說法，說明制度的建立和落地是何其的重要，據(jù)悉，超過70%的信息安全威脅來自企業(yè)內(nèi)部，其核心數(shù)據(jù)的流失居然有80%源于內(nèi)部人員的違規(guī)操作或管理疏忽，這樣看來我們必須要討論一下安全制度的落地問題了。

成都創(chuàng)新互聯(lián)專注于興安企業(yè)網(wǎng)站建設,成都響應式網(wǎng)站建設公司,商城網(wǎng)站開發(fā)。興安網(wǎng)站建設公司,為興安等地區(qū)提供建站服務。全流程按需定制設計，專業(yè)設計，全程項目跟蹤，成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

一、安全制度落地何其重要

信息安全是任何國家、政府、部門、行業(yè)都十分重視的戰(zhàn)略問題，談到信息安全風險的應對之道，多數(shù)流行的安全理論和標準都從制度管理和技術防范兩個方面來研究解決，二者相輔相成，通常認為制度管理在實際安全工程中的地位相對較高，是信息安全管理的基礎，建立健全各項信息安全制度是進行安全管理的***步，正如業(yè)內(nèi)廣泛流傳的“三分技術、七分管理”，集中反映的也是這個道理。保障企業(yè)信息安全，無論技術防范如何健全，歸根到底還是要依托管理制度的完善，并最終落實到人的執(zhí)行效果上。

根據(jù)一份針對網(wǎng)絡安全的專項調(diào)查結(jié)果顯示，目前，超過70%的信息安全威脅來自企業(yè)內(nèi)部，其核心數(shù)據(jù)的流失實際上有80%左右源于內(nèi)部人員的違規(guī)操作或疏于管理，而只有約20%來自外部的侵犯。前不久，引起世人廣泛關注的美國大兵布拉德利?曼寧通過“維基揭秘”網(wǎng)站公開美國數(shù)十萬份機密文件的事件，就是一個極為典型的案例，作為情報分析員，曼寧能夠一連8個月，一周7天，每天14個小時地閱讀機密情報，但他同時也可以將這些機密數(shù)據(jù)下載并復制給了“維基揭秘”的創(chuàng)始人阿桑奇，并由此引發(fā)軒然大波。不難判斷，曼寧所在的部門一定會有相關的管理制度，但如果不能完善并落到實處，所導致的結(jié)果將會觸目驚心。無獨有偶，在愈演愈烈的“棱鏡門”事件中，作為美國國家安全局設在夏威夷的威脅行動中心系統(tǒng)管理員，斯諾登也可以堂而皇之地將高密級信息順利帶出美國，沒有人否認美國信息安全技術的先進性，但與其蹩腳的管理相比，一切只能是“水中月、鏡中花”而已。因此，在信息安全管理工作中，完善和落實信息安全管理制度與技術防御相比，發(fā)揮著更為關鍵的作用!

二、如何建立行之有效的安全管理體系

目前企業(yè)內(nèi)部一般都有許多針對網(wǎng)絡、系統(tǒng)、信息方面的安全管理制度，但是這些制度通常都是為某方面的安全問題制定的，沒有建立起一個系統(tǒng)的、分級分層的、能夠?qū)W(wǎng)絡信息安全的各個主要方面都能有效約束的制度體系。而缺乏體系性的安全制度，對于大型企業(yè)來說，往往會在不同部門、不同系統(tǒng)、不同人員之間產(chǎn)生一些管理誤區(qū)和盲區(qū)，導致其權威性和嚴肅性大打折扣。

一個好的信息安全的制度體系，首先要制定目前缺乏的各級管理制度，同時完善已經(jīng)制定的各級管理制度，使其自上而下對各級部門和具體應用系統(tǒng)都具有相應約束力。一般來講，建立安全制度體系需要遵循一定的原則，并根據(jù)制度的級別不同由相應的部門制定和監(jiān)督執(zhí)行。企業(yè)級的信息安全制度應由企業(yè)網(wǎng)絡信息安全管理部門(信息中心)來制定;部門級的安全制度由各部門在企業(yè)安全制度的基礎上根據(jù)自身特點來制定;系統(tǒng)級的安全制度則要根據(jù)具體應用系統(tǒng)的技術、管理和使用要求，同時在遵循前述兩級安全制度的前提下，由系統(tǒng)管理機構(gòu)來制定和執(zhí)行。

一個好的信息安全管理體系，還要具備較強的可操作性。目前很多信息安全制度更多的使用了綜合性的禁止性條款，如“任何部門或者個人，不得利用計算機信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動。不得危害計算機信息系統(tǒng)的安全?！钡鹊?，而沒有具體的許可性條款和詳細的禁止性條款。這種大一統(tǒng)方式往往停留于口號和原則層次上，難以適應信息網(wǎng)絡技術發(fā)展和越來越多的企業(yè)信息網(wǎng)絡安全的具體問題，在實踐中給落實工作造成了很大的困難。因此，企業(yè)在制定信息安全管理制度過程中，要考慮到一些實際的突發(fā)情境和需重點防范的內(nèi)容，圍繞這些情況，制定詳細的應對措施、操作規(guī)程和管理步驟，使被管理者在現(xiàn)實工作中能夠方便地遵照執(zhí)行，并可以根據(jù)技術的發(fā)展和情況的變化，對管理制度及時做出適當?shù)恼{(diào)整與修訂。

一個好的信息安全管理體系，還要能與技術系統(tǒng)相互融合、相互促進，并兼顧以人為本的原則。企業(yè)的一切管理活動都應以制度為基礎，技術系統(tǒng)的運轉(zhuǎn)與維護應該服務于管理的需要，管理制度的制定與完善也應考慮到技術系統(tǒng)運作的機械性、嚴格性特點，不能將模糊的、易變的管理制度用于技術系統(tǒng)運作的管理之中，同時還要設法不斷提高相關管理人員、技術人員、使用和操作人員的技術素養(yǎng)和道德水平，使得信息安全的管理更加專業(yè)化和人性化。#p#

三、安全制度落地三法

根據(jù)筆者的經(jīng)驗，做好制度落地工作應主要從以下三個方面，入手：

一是要把制度落實作為“一把手工程”來抓。由于企業(yè)主官對于信息安全工作重視程度不足，忽視了制度落實工作，進而導致企業(yè)核心競爭力的損失往往是無法彌補的。具有戰(zhàn)略眼光的企業(yè)領導人一定會把信息安全當做戰(zhàn)略問題來抓，解決問題的關鍵就是安全制度的有效落實!有了企業(yè)“一把手”的重視和支持，“上行下效”，可以將這種執(zhí)行力有效地投射到企業(yè)各個部門，在每個人的意識上也會真正重視起來;同時，還可以有效調(diào)動信息安全管理部門的積極性和主動性，通過技術設備和安全策略等多種手段預防、控制和追查失泄密行為。

二是要加大執(zhí)行制度落實重要性的宣傳教育力度。安全制度的落實力度不夠，主要體現(xiàn)在企業(yè)人員認識不到位、防范意識不強，這種思想上的麻痹和松懈讓管理制度成為一紙空文，加大了信息安全隱患。因此，企業(yè)內(nèi)部要合理利用多種時機，采用多種形式，加強信息安全宣傳教育，特別是要注重將信息安全理念融入企業(yè)文化，使員工的企業(yè)忠誠度和以信息安全意識、知識、能力和道德為內(nèi)涵的信息安全素養(yǎng)得到同步提升;努力加深員工與企業(yè)的感情，弱化利益誘惑的動機;樹立員工良好的信息安全意識，時刻牢記信息是決定企業(yè)核心競爭力的關鍵要素，信息安全關乎到企業(yè)的生死存亡和每個人的切身利益;加強員工信息安全責任心，時刻警惕身邊的信息安全隱患，隨時完善制度上的缺陷。

三是加大對制度執(zhí)行情況的督查和獎懲力度。在企業(yè)內(nèi)部建立針對信息安全制度執(zhí)行情況進行監(jiān)督檢查的長效機制，及時發(fā)現(xiàn)制度執(zhí)行過程中存在的問題與風險隱患，盡快組織整改落實，確保信息安全工作切實有效;同時，要把企業(yè)各部門信息安全管理制度執(zhí)行情況與部門考核、個人考核掛鉤，實行一票否決制，對于因失職、安全意識淡薄、甚至故意泄露企業(yè)秘密的行為要依據(jù)法律法規(guī)和相關制度追究當事人的責任。

新聞標題：制度比技術防御更重要!三大方法確保安全制度
網(wǎng)站鏈接：http://m.5511xx.com/article/djghjhs.html