信息安全官半夜被呼醒的情况往往是突发性紧急信息安全事故，比如遭遇“猪猪侠”这种黑客大牛将系统漏洞挖掘出来并通过媒体进行曝光，或者遭遇勒索不成恼羞成怒的骇客发起分布式拒绝服务攻击让在线业务停顿。

其实，能够引起突发性紧急信息安全事故的并不限于黑客或骇客，多数信息安全威胁都是在人们的认知范围内，除了安全事件应急响应之外，做风险评估和应对计划，业务持续性计划及灾难恢复计划时都会考虑这些。所以，出现安全事故难以完全避免，而且出现了也不会出乱子，一切尽在掌控。

可是，突发性的严重安全事故不能频频出现，否则不仅信息安全总监、经理或主管们睡不好觉，一线的业务大佬们甚至CEO和董事会主席都可能是彻夜难眠啊。

有了4G和视频通话，信息安全总监可以在被窝里指挥前线值班人员快速恢复信息系统吗？这太好笑了吧！更好笑的更刺激的更冷的是让黑客入侵了智能手机终端，偷偷拍下床头的视频并上传到互联网上……

这不是没可能，而是信息安全官带着的一批队伍的水平好过普通的入侵者，或者说安全防范措施足以应对这些安全威胁，让信息安全风险降低至可接受的水平。

这里我们不得不再次提到移动终端设备的安全，很多互联网服务在鼓励客户使用移动终端，其实我们也看到，智能手机的出货量已经开始超越个人电脑，而且我们也亲身体验到，使用平板电脑和大屏手机处理简单的业务流程操作，要比使用个人电脑要高效的多。

移动应用和移动终端设备来势汹涌，安全问题也逐渐替代PC而成为信息安全官们的梦魇，而移动终端要比PC的控管难很多，因为它们可能属于员工的资产，严格区分工作和私人用途已经非常不易，并且这些设备和用户可能随时游离于传统的工作区域和内部网络，移动用户的有效身份鉴别也挑战着传统的IAM系统，更不用说保护终端信息数据的保密不被偷窥和滥用等等。

除了移动终端之外，大数据大集中的趋势也没让信息安全官轻松，大数据，大价值，大关联，不仅仅是终端用户，更可能是客户、供应商、合作伙伴等等利益相关者。抛开隐私顾虑不说，产品流、信息流的任何一点出现严重故障都可能损及整个链条的利益和信誉。在自然，面对这些潜在的问题时，信息安全负责人轻松不下来。

信息设备和系统越来越强大和稳定，Windows蓝屏都已经很少了，PC故障排差已经不是什么IT工作了，不是么？但是IT安全的维护越来越难，为什么会这样呢？昆明亭长朗然科技有限公司企业信息安全管理顾问James Dong说：信息安全变得越来越难，主要是因为越来越多的安全事件起因于人为因素比如故意破坏或操作失误。

从外部来讲，黑客、竞争者和商业间谍的活动比以往任何时代都要猖獗；从内部来看，新世代员工们更加的开放和容易轻信他人，这内外两种因素结合起来，无疑让信息安全管理难上加难。当人为因素造成的安全事故层出不穷时，信息安全官半夜被呼醒也是常态之事了。

信息安全官想睡个好觉，解决之道何在？在技术控管层面，无疑需加强大数据——机房、服务器、应用系统、数据库以及商业流程的中央安全，以及海量终端设备的安全。在人员管理层面，无疑需要强化内部人员以及利益相关链条的信息安全意识，让内部的信息安全素养和防范水平高过外部威胁，例如，能辨识出商业诈骗电话和钓鱼邮件并采取正确的行动。

昆明亭长朗然科技有限公司各组织可依赖的信息安全意识培训合作伙伴，我们专注于帮助各类型的组织管理信息安全中关于人员的风险，欢迎联系我们洽谈业务合作。

中华民族的复兴和崛起主要依赖国民的奋发图强，在全球化大时代背景下，西方当代文明带给我们的积极影响，我们也不能否认。

信息时代风云变幻莫测，源自英美强国的信息安全管理体系ISMS方法在全球政治经济一体化的大环境下演变成了ISO国际标准。毕竟，保护好全球互联网的安全，需要一个可以进行跨国紧密合作的沟通框架；在企业间的信息安全交流和管理中，也需要有共同的语言来建立互信机制。

数千年来，多次朝代更替，中原文化也多次历经外族入侵，然而主体的中华文化特性却能始终保持下来。随着知识经济全球化以及互联网的迅速发展，西方文化对我们的影响也日益增强，不过相信精华将被吸取，糟粕将被摒弃。ISO 27001信息安全管理标准在面临中国几千年传统文化之时，会产生什么碰撞和融合效果呢？今天我们来探讨一下信息安全管理体系中的一个重要话题——信息安全事件管理。昆明亭长朗然科技有限公司的企业安全顾问James Dong说：在信息安全事件的披露和响应方面，西方文明讲求事实和科学；而中华文明则关注伦理与影响。

如何有效响应信息安全事故呢？这里面并没有中西文化优劣之说，但却值得我们细细思索和采取必要的措施。James举例说：大到国家层面的信息安全监管机构，小到公司部门的安全协调人员，都很难让人们主动报告信息安全事件。这就如同领导上台提倡让下属们进行自我批评一样，几乎没人会真正来揭丑亮短，这就是中国公司很少有信息安全事故报告出来的主要原因。

明眼的信息安全管理人员会制定相关的制度，以期通过惩戒“隐瞒不报”、“迟报”、“谎报”等手段来激励人们报告信息安全事故。这能起来一部分的效果，但是并不足够。因为“一票否决”、一把手负责等等政治因素，加上责任和面子，会让安全事件发现人员和级级的领导阶层先做一个评估。评估是为了决定私下大事化小、小事化了，捂着盖着，还是乖乖上报。

此外，即使有一个机构或部门中的某个环节出现一点纰漏，整个机构或部门帮忙“打掩护”的情况也很多见。为什么这些人们要这样呢？他们仅仅只是为了自己小范围的利益而牺牲大范围的集团利益吗？答案并非如此，原因在于人们不理解信息安全事故报告和处理思想及流程。James分析出如下几条常见的心态：

1.在中华传统文化中，事故往往是不好的，丑事坏事都不吉利，应该尽量规避，好事不出门，坏事传千里，我们不应该记录和传播不好的事儿。

2.出事是不应该的，出事儿意味着责任心不足、态度不好或能力有问题……这些无疑将带来负面的影响，不想在仕途或职场倒霉就别让这传播出去。

3.在我这弄出的事儿，我这儿要给它灭了，不要去劳烦上司。等事儿给解决了，可能领导也不过问了，即使再报告或许也能获得个从轻发落，甚至因为响应及时而获得领导的褒奖。

对公司信息安全管理负责人来讲，要让员工们及主管经理们建立正确的信息安全事件观念，可不能不考虑这些固有的文化心态。在了解这些心态之上，采取必要的安全意识沟通教育，方能建立健全有效的信息安全事件管理流程。