信息安全管理重在组织与领导

不少单位的信息科技负责人对信息安全管理并不陌生,但信心却并不是很足,这主要是由于IT总监经理们主要负责管理信息系统或信息服务,而保护信息安全不仅仅是IT部门的职责,技术精湛的攻击者可能利用各类渠道渗透进入单位的内部,进而窃取机密信息数据以及从事各类破坏活动。

那到底谁应该为单位的信息安全管理负责呢?显然管理层需要担负管理责任,这不是废话吗?进一步讲,要由单位的一把手,大老板或最高长官负终极责任,而且要由一把手领导挂帅,将责任层层分解,责任分解的一项原则是:“谁主管,谁负责”。

管理层往往要担负的职责很多,当然有更紧要的事务,而且多数总监经理们并不是安全管理方面的专家,所以别指望所有事情都亲历亲为,这就需要信息安全管理协调组织,这个组织也常被称为信息安全管理委员会,成员包括担任委员会主席的单位一把手、各职责业务单元或部门的总监、首席信息安全官或信息安全总监、首席安全官、风险管理部门和审计部门总监、以及各部门负责具体工作事务的安全协调人员。各部门总监经理们的职责是落实信息安全责任制,并对部门的安全管理指标、战略和计划等等进行决策。而各部门的安全协调人员则在部门沟通协调各类具体安全事务的执行,通常他们是即懂部门的业务流程,又懂得基本安全理念,还善于同其它部门、部门内部及部门总监经理们进行沟通的专业人员。首席信息安全官要面对安全管理委员会的所有成员,对上是单位一把手的安全管理智囊,对下是信息安全部门的总监,而更多是作为安全顾问和专家的身份,服务各业务部门的总监经理和安全协调人员们。

信息安全管理属于公司治理的一部分,和业务风险管理以及审计密不可分,所以首席信息安全官还需同风险管理及审计部门的总监经理们建立协调沟通,根据组织的实际情况,明确具体的工作分工和职责,以便各司其职以及协同工作,通常风险管理部门侧重于财务相关的业务控制领域,而审计部门则多会组织和实施各类安全检查或评审。

信息安全并不是虚拟的电子安全,不少信息资产更需要得到实体安全的保护,在不少单位,安全部往往会负责物理场所和财产实物的安全保障,安全部的长官——首席安全官更关注的是实体设施和公司区域以及环境的安全、比如监控、门禁、保安、防盗、安检、巡查、消防等等。实体安全和信息安全保障也息息相关,所以首席信息安全官和首席安全官也应聚在一起,讨论和明确各自的工作范围、分工及协作渠道。

即使有了恰当的分工协作,部分工作仍可能会有交叉点或重复点,这都没有关系,每家组织都是独一无二的,所以在具体的操作实践中没有必要太拘泥于死板的安全论调。某些安全工作职能可以归你,也可以归我,甚至你我可以合并起来,在进行科学划分的时候考虑一下工作的效率、资源的配备以及协作的流程,所以为了组织整体的安全,不要太拘泥于权力范围等或办公室政治,因为组织整体的安全需要所有员工的共同努力,更和所有安全从业人员的协同合作分不开,工作成效显著的安全职能部门也能影响其它的安全职能的工作绩效。

通常,信息安全从业人员都会不断地学习,以便在资质和能力上不断提升。在组织内部,安全总监经理们还需要不断学习和组织业务相关的知识,普通职员们可能不会要求安全专业人员非常熟悉他们的工作内容,但是首席信息安全官如果连一点基本的业务背景知识都没有则会被员工们耻笑,显然在谈及具体的安全事务时也难以被员工们所理解和接受,进而难以发挥领导的魅力,更难成为员工们的安全行为楷模。

不过有时因为时间仓促或影响力有限,首席信息安全官往往并不是业务方面的专家,关于这一点,亭长朗然公司的安全管理咨询顾问James Dong说:因为所有员工往往都会关注和倾听单位高管们的一言一行,所以首席信息安全官可以借助单位一把手或最高领导层的示范和表率作用。由于一把手对单位的信息安全负终极职责,也能更好把握企业安全文化的方向,所以更应该在员工们面前展示对保障业务安全的承诺、宣讲信息安全对组织成功的重要性、以及为保障商业安全员工们在日常具体工作中需注意的安全事项等等。

首席信息安全官还应该更多借力各业务部门的安全协调人员,信息安全方针政策的落实、安全行动计划的实施、信息安全标准和流程的执行都要靠这些安全协调人员来在各部门推动,所以,加强对安全协调人员的领导和管理,定期召开信息安全座谈会或协调会、提供必要的安全管理技能培训、通过现场检查和走访调研等方式帮助安全协调人员在部门内部实施信息安全管理体系。

信息安全协调是一项耗时耗力的重要工作,工作比较辛苦,这是由于安全协调人员们要面对大量部门同事的不安全意识和行为,又没有管理权。不过这些安全协调工作职位是对部门总监经理负责,各部门的安全职责归各部门总监经理,所以具体的安全事务需总监经理们来拍板实施,安全协调人员则是部门总监经理的安全智囊和地勤人员,当然在安全专业上的问题则应该更多向首席信息安全官寻求帮助。

为了减少各部门信息安全协调人员的重复工作和节约单位资源,首席信息安全官则应该考虑实施针对全体员工的安全意识培训计划,统一部署各类安全控管措施和安全工作流程,通过信息安全协调人员来帮助发现和解决安全工作中的具体问题。

当员工们看到最高层的领导在信息安全方面的决心,接受了单位统一的而且足够的安全认知教育,收到了部门总监经理对安全具体工作的指示,并且通过部门安全协调人员解决了心中的安全疑虑之后,他们定会表现出积极向上的安全风貌和安全行为。

总结说:信息安全管理工作重在组织与领导,而在组织与领导工作之中最重要的是安全沟通协调,针对全员的安全意识培训又是安全沟通协调工作的重中之重。

昆明亭长朗然科技有限公司开发制作了数百部安全、保密与合规相关教程及动画视频,员工们通过电脑、手机、平板等随时随地进行简单的移动式学习和体验,便可了解基础的安全防范理念。欢迎联系我们预览和洽谈采购使用。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

缺乏IT安全意识可能造成巨额代价


CIO及IT总监经理们在制定IT战略计划时,会越来越重视IT安全问题,这是因为病毒、蠕虫、木马、恶意软件和互联网攻击日益猖獗,同时安全相关的法律法规越来越严格,客户对数据安全保护的要求也日益增强。

各类公司在保护自己及客户的安全上已经花费了相当数量的投资于软件、系统和策略上,然而安全链中最弱的环节却是一名名员工,例如:

1.IT安全策略已经得到了更新,公司却并没向所有员工提供相关更新的有效沟通;
2.新入职员工并未得到充分的IT安全培训便开始访问机密数据;
3.对公司不满的员工离职了,他有许多关键系统的访问权限,然而没有人能意识到他对公司是一项威胁;

实际上,回顾近年来的系列黑客攻击事件,除了那些利用未公开发布的系统漏洞进行攻击的之外,剩余几乎所有的攻击之所以能成功,都和人员的安全意识薄弱有关。

Verizon的一项数据泄露报告也表明:尽管过去一年,黑客攻击造成的数据泄露事件大量曝光于媒体,然而报告分析指出主流的大规模黑客攻击并没有特别高超的技艺和手法,只要员工们遵守基本的安全实践,这类能够造成数据泄露的攻击行为根本无法成功。

那么除了防范黑客攻击和数据泄露之外,为何说IT安全教育如此重要?

正式的IT安全意识教育计划对于保护公司的信息资产、公司职员以及公司的成功都至关重要,同时还可确保员工们了解他们的安全角色和职责。

同样,IT安全意识培训可以帮助公司对安全法律法规的遵循,每家公司或多或少会受到一些法规的监管,这些监管机构也会要求公司向员工、供应商以及合作伙伴提供正式的安全意识培训。

但是制定和执行IT安全意识教育计划并不容易,多数公司并没有足够的资源和时间来自己动手。它需要在整个公司层面多个部门和人员的参与,并且需要熟悉IT安全培训的专业技能人才。

信息安全意识计划可以分为几个阶段:

1.初级阶段是向全体员工提供一些安全资源,让他们知道信息安全的基础知识,通常的做法包括发放安全宣传单、张贴大幅安全海报、提供信息安全壁纸屏保、播放信息安全Flash影片、发送安全意识期刊等等,这些初级的方法容易上手、操作也比较简单而且成本低廉,但是缺乏与员工的互动,难保员工的参与,安全意识效果无法保障也难以衡量;

2.中级阶段包括但不局限于初级阶段的做法,重点是新员工安全培训以及年度安全培训,让员工们在入职开始工作之时便能认识到公司的IT安全方针政策和作业程序并且每年定期刷新,以便他们了解到为了保护公司以及客户的安全,他们需要扮演的角色和所担负的职责,通常的方法是向员工们提供课堂面对面的培训和电子学习课程,这类方法往往需要专职的教员或优质的精心设计制作的课程,需强制员工们的参与,工作量大,成本也相对较高,不过,这类方式往往有较强的员工互动,员工参与度高,安全意识教育的效果也更好也更容易衡量;

3.高级阶段是建立信息安全文化,这时,公司往往有更高层次的安全意识计划需求,比如信息安全上升到公司的战略高度,公司的成功已经严重信赖信息安全,公司要确保遵守商业信息安全法律规章,公司安全方针政策的执行需要得到落实和强化等等,建立信息安全文化需要长久的努力,方法需要灵活多样,并且和公司其它商业工作流程紧密结合,比如将员工的安全意识学习成绩、安全行为检查结果与工作绩效及个人发展挂钩,对安全的意识和安全的行为进行适当的奖惩措施,不断评估和改进安全意识培训方案等等,重点是不拘泥于形式并且坚持不懈,当然这种阶段的回报也是巨大的。

昆明亭长朗然科技有限公司帮助信息安全培训处于各个阶段的客户实现更成功的安全意识教育计划。