缺失的信息安全方针政策

信息安全方针也称“信息安全政策”或“信息安全策略”,您的组织有信息安全方针吗?昆明亭长朗然科技有限公司的一项安全调查表明:近半数人们并不清楚,而剩下的受访者中近半数表示没有,近半数表示有。

搜索“信息安全方针”,我们往往会被引导至日本公司的网站,撇开可能给日本公司带来的商业机会不谈,这至少让本土的信息安全人员们深深感悟到中日两国在信息安全管理之上的差距。

信息安全爱好者或技术人员往往期望能够推动公司内部的信息安全体系建设,不过这往往难获得成功。昆明亭长朗然科技有限公司的资深安全顾问James Dong说:因为信息安全管理是至上而下的体系,成功的关键要素是公司最高层对信息安全的重视和承诺。除此之外,还有更多如下因素:

由于历史的原因,中国的中坚人才出现过一段时间的“断层”,特别是在国际化、标准化方面的管理人才十分匮乏。不过,改革开放以来,知识技能得到了重视,英雄得以用武之地,再加上人才培养和交流机制的作用,不少社会精英早已经爬到各类型组织的高管层。尽管如此,至少在信息安全管理层面,我国的社会精英们与发达国家之间的管理水平差距还相当遥远。

从产业层面探讨,信息安全管理水平和信息化水平密不可分,中国人基数大,多数领域内手工操作可能优于自动化或信息化,对信息系统和信息数据的安全要求可能不会太高,安全管理水平落后是情理之中可以理解的。

从文化差异方面来探讨,中国人的文化强调和谐一致,而不像西方人那么重视个人独立,所以在,中国人的隐私保护观念极为落后,而隐私保护无疑是个人信息安全保护的重要的推动力量,这方面的薄弱很大程度上影响着多数安全管理负责人对信息安全的态度。

从社会法制层面来看,我国几千年形成的人治体系不能在短时间内消亡,多数人还是乐意凭关系而不是凭规则来办事,法律观念的淡漠表现在对专利版权和规章制度的态度之上。如果人们不重视自己和他人的智慧财产权保护,随意使用盗版资源,同时把法律法规和规章制度当成摆设之物,信息安全管理也难以在这个大环境中取得突破。

尽管上述种种原因可以为信息安全管理负责人的不作为找借口,我们不需要背负历史的深重罪责,但是我们需要看到未来,看到希望。亭长朗然公司的James说:在品质管理上,精品国货与服务已经取得了阶段性的成功,但是我们可以看到重获消费者信任的路途很艰难;在环境保护领域,先破坏再治理让我们付出了深重的代价;在信息安全领域,我们不能再忽视对客户或自家关键信息数据或信息系统的安全保护,这不仅关系着我们的核心竞争力,更是关系着组织的信誉。

您的组织有信息安全方针吗?不要再纠结这个问题,立即行动起来,建立和更新组织的信息安全方针吧。信息安全方针政策,不仅仅是一份文件或口号,更应该是对股东、客户以及合作伙伴们的承诺,还是信息安全管理体系的关键组成部分。

依法治国与信息安全管理制度

legalism-and-infosec-mgmt-processes

中央四中全会设定了全面推进依法治国的总目标,并且提出了依法治国需全面推进的“五个体系”和“六项任务”。在依法治国的大背景下,国家的组成单元——各个层面的大中小型机构,也都会纷纷转向依法治理。依法治国的思想和方法,无疑也会传播和影响到信息安全治理和管理领域。信息安全从业人员,进好能借此机会,建立健全组织机构的信息安全管理制度,向信息安全管理“制度化、标准化、规范化”目标前进。

中央的文书向来四平八稳,更不是乏各类关于四中全会公报的解读,但是关于依法治国精神对信息安全管理方法的指导,倒是没见着。昆明亭长朗然科技有限公司的信息安全管理咨询顾问董志军表示:各组织机构特别是公司企业更需要从国家政治、经济、文化的视角认识信息安全,将企业的发展战略与国家政策有机联系起来,与党和政府同呼吸共命运,才能实现基业长青。特别是国内的网络信息安全产业,不仅关乎国家安全稳定大局,更是在党和政府的保护政策之下才获得了生存和发展,则更应该努力学习和贯彻中央的依法治国精神。

其实,从道理上讲,大到国家层面的依法治理,小到公司层面的合规管理,都是一脉相通可以相互融汇的。昆明亭长朗然公司董志军简要读取了公报的主要内容,特别是重点和亮点,并与信息安全管理体系方法进行了一些比对和关联,现在简单提炼和解读出来,希望能够帮助各类企业级的信息安全管理负责人员,在更好地理解全会精神的同时,获得信息安全体系管理和公司治理方面的智慧启迪。

首先,从总目标是“建设中国特色社会主义法治体系,建设社会主义法治国家。”从历史上讲,依法治国的口号被提出几千年,总体上也还是一个“人治”的社会,可是无疑是当下最为紧迫的一项任务。社会经济发展虽然达到了前所未有的高度,在我们获得丰富物质文明的同时,也积累了很多严重的社会问题。在一个相对原始和封闭的小圈子里,“人治”是相当高效的体系方法,但是现代的组织机构已经很高度文明化,内部外部都需要大量的沟通协调,“人治”显然是很落后的了。即使是在街边摆个小摊,也会面临着被城管凭个人心情、意愿或喜好随意轰走甚至抢夺商品的情形。

很多公司都没有规范的信息安全管理制度,更没有相关的工作记录,信息安全工作也都是领导说了算,大家的工作都凭自己的喜好,爱干什么干什么,想怎么干怎么干,出了信息安全问题乱医治,找不到造成问题的根源,也没有人会觉得自己应该负责,这自然会造成一大堆的混乱场面,这种信息安全管理水平被称为“混沌”状态。信息安全工作负责人员要想让公司的安全管理水平,以及自己的职业发展都跨上一个新的台阶,无疑需要制定一个信息安全“合规管理”的目标。

其次,中央公报提到完备法律规范体系,即立法先行。负责公司信息安全管理的人员,无疑也应该从信息安全管理制度开始,创建、完善及发布公司层面的信息安全方针政策以及信息安全工作标准及规范。同时,也应该要求各部门依据自己的实际情况,开发出更为细化的、与特定岗位相关的安全操作指南,或作业流程。

接下来,中央公报提到法律的生命力在于实施,健全依法决策机制,把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序。在公司信息安全管理的重大决策方面,也应该让各相关部门领导和信息安全专业人士参与进来进行集体讨论。特别是当公司有新的重大项目论证时,就应该让信息安全团队早日加入,进行安全风险评估、合规性审查等工作,不能让信息安全人员成为错误决策之后的救火队。

然后,中央公报提出法律的权威源自人民的内心拥护和真诚信仰。回顾历史,当我们的先辈们在推举贤良之才做领导并忠心追随时,古希腊人开始建立民主制度和强化对公权力的约束,我们今天的法律文书体系,肯定远远超出于古希腊,但是法律效率仍然远远落后,可见我们的差距有多远。古希腊人企图通过立法建构社会秩序的理想和公民尚法观念的形成,是古典法治思想的重要组成部分,更让古希腊成为西方法治思想的发源地。对我们而言,人民对法律精神的认可才是依法治国的核心,严重社会问题的解决,当然不能靠那些法律文书,虽然它们写得很好,但是没有活力,因为很少有人去看它们,更少有人懂这些法律的精神。要依法治国,弘扬法治精神,形成守法光荣、违法可耻的社会氛围,比制定法律本身要重要的多。

对于一家公司来讲,信息安全规章制度的执行力和员工们对规章制度的认可度密不可分,虽然社会法治的大背景环境可能不大好,多少会影响到公司制度的执行力,但是这并不是关键。因为与员工们更为密切和贴近的是公司的规章制度,而不是国家的法律文本,当然这两者并不对立也不冲突,相反,公司的规章制度也是在国家法律框架下进行细化而制定的。在公司内,不必要对员工们大搞普法教育,违背国法的自然会受到国法的惩治。公司应该积极地向员工们宣传信息安全知识和理念,包括公司的信息安全方针政策,以及应该遵守的信息安全最佳实践,比如互联网安全使用准则、客户端安全使用规定、如何正确地获得系统的访问权限以及防范社交诈骗和网络钓鱼的技巧等等。当员工们拥有了基本的信息安全防范意识,认同了公司的信息安全管理方针及标准要求,就会自然而然地遵守规章制度和遵循安全作业指导。

最后,中央四中全会公报还提出,必须大力提高法治工作队伍的思想政治素质、业务工作能力、职业道德水准。公司信息安全治理和管理的成功离不开全体员工对信息安全规章制度的理解和遵循,也离不开信息安全专业工作人员的努力工作。专业的信息安全人员,包括技术专家和管理人才,都是推进信息安全制度化管理的重要力量。相比于普通用户,信息安全专业团队更需要带头依法依规办事,更需要加强信息安全专业知识的学习,更需要提升信息安全意识,以便确保信息安全规章制度得以有效的贯彻和执行。

昆明亭长朗然科技有限公司专注于帮助客户提升员工们的信息安全意识,我们推出了业界领先的安全意识教育培训产品和服务,我们不仅能够理解客户的业务目标和信息安全目标,更能基于这种理解,创作、交付、跟进和评估安全意识培训内容。欢迎您联系我们洽谈业务合作事宜,也欢迎您在线体验我们的信息安全意识教案以及信息安全管理制度宣传课程。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898