各类组织机构如公司为了保护信息资产的安全，需要设计开发适当的信息安全策略（也称方针或政策），更重要的是需要将信息安全策略发布给所有员工，甚至客户以及合作伙伴。

设计开发信息安全策略仿佛很简单，国际上有成熟的标准体系、行业里也有相关的安全法规，也有些模板可以供参考和拿来进行修改，说到底，信息安全策略常常被各类组织信息中心负责人看作是繁杂的文书工作，便简单委派给文秘相关的人员。

实际上，信息安全策略远不是能交给部门秘书或文笔较好的职员能充分胜任的，最重要的原因是安全策略的制定不能脱离公司的业务环境。昆明亭长朗然科技有限公司的安全管理顾问Bob Xue说：多数国内组织机构的信息安全管理仍然很依赖“人治”的混沌水平，主要原因是领导和下属们的文档意识并不够，这和跨国公司依赖规章流程来进行信息安全管理有很大的差距。

为了应付各类信息安全管理相关的检查和审计，多数组织不得不炮制出许多临时的“信息安全手册”，包括诸如安全策略、标准、流程等等，甚至有制作出相关的“记录”和“证据”，更有下大力气召开信息安全动员会，领导挂帅发动信息安全突击项目……

多数的结果是：运动战式的信息安全突击项目往往都是短视行为，一阵风过后，领导又要忙于其它项目，似乎并也不那么在意信息安全了，下属员工们在安全自律方面也松懈了……

问题在哪里呢？亭长朗然公司的Bob说：大量的安全管理文件都是公司内部的少数人员依据标准体系或法规遵循而“闭门造车”出来的，这显然脱离实际的工作环境，容易造成“曲高和寡”，不能被多数员工们所理解。目前只有极少数的公司信息安全负责人拥有安全管理方面的智慧，他们往往会将信息安全相关的文件体系分级委派给各个不同层级的部门和岗位，由这些部门的领导主管和信息安全协调人员们根据部门和岗位的实际情况撰写适合自身的“信息安全作业流程”。

当然，信息安全负责人可能需要出台在整个公司范围内所通用的安全方针政策和标准流程，但是更多的工作却是培训和指导各部门的领导主管和信息安全协调员，要让他们了解信息安全管理的基础智能和理念，以及提供必要的安全技能培训，让他们有能力撰写出合格的“信息安全作业流程”。

在撰写“信息安全作业流程”时也有一个误区，有公司信息安全流程负责人可能会拿出固定的模板，让各部门协调人员照样子搬抄，这是偷懒、不专业也不负责的做法。的确，整个公司范围内的“信息安全作业流程”应该遵循一些标准，比如至少要有作业流程的目标、流程中人员的职责、相关的信息输入和输出、必要的流程控制点和流程本身的所有者和维护信息等等。这些都是必要的，然而，这些并不是沟通和培训的关键。

那么关键的问题何在呢？亭长朗然公司Bob说：至关重要的是要让各部门领导和信息安全协调人员了解如何真正让信息安全作业流程发挥必要的安全控管目标，比如要让真正需要得到保护和控制的信息资产被识别出来，要知晓人员如何与信息及系统进行互动。

要了解人员与信息及系统之间的互动至关重要，因为工作流程要这些信息及系统的使用者们来执行，安全作业流程同样也要让他们来遵循。

在完成了适当的信息安全管理文件体系“信息安全手册”的建设之后，重要的不是搜集执行的结果——“记录”或“证据”，因为执行信息安全作业流程的主体是人员，而不是系统，所以重要的是加强与信息安全作业流程的使用者之间的沟通。

沟通的目的当然不仅仅是让信息安全作业流程得以顺利遵照执行，还有一个目标是强化信息安全策略的效力。沟通是双向的，但受众主要是信息安全作业流程的使用者，这里面可能并不限于公司内部员工。沟通的手段无非是培训和再培训，普遍性的安全方针政策和标准流程培训可以在全公司范围内实施，由信息安全管理领导负责人来牵头进行全员信息安全意识教育比较好；关于各特定部门和岗位的独特性培训，则需由信息安全负责人与各部门领导及安全协调人员进行磋商，以便合理分配和有效利用安全培训资源。

借助对信息安全管理的深刻理解和认识，信息安全意识教育业界领导厂商昆明亭长朗然科技有限公司不仅提供普遍性的信息安全意识培训课程，更能针对每家客户的独特性而量身定制安全意识沟通课程，这些无疑能够帮助客户强化信息安全方针政策和作业流程的有效执行。

如果您有兴趣了解更多内容，欢迎联系我们获取更多详情。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

最近，又看到和听到一些信息安全事件，无疑，这些事件的原因都是对信息安全的误解和不了解。

其中一起事件值得玩儿味，暑假，清洁阿姨带着自己的儿子来到某公司，借用了某员工的电脑玩儿游戏。后来该员工发现一些程序和重要工作文件丢失了，原来阿姨的儿子要安装大游戏，但是提示存储空间不足，该小伙便悄悄把电脑中的程序和数据给删除了。

我说该员工真倒霉，不过不值得同情。昆明亭长朗然科技有限公司信息安全专员董志军表示：很多员工知道，在职场中，分配给自己工作用的电脑不是自己的私产，但是却不明白，自己作为使用者和保管者，承担着保护电脑的责任，即使交给他人使用，也还是得自己担负责任。

计算机使用责任

员工负责适当使用区域计算机和通信资源，并采取合理的预防措施来保护委托给他们的信息和设备。

员工有责任举报不当使用区域计算机和违反计算机安全的行为。

员工有责任遵守此处所述的政策和做法，以及其他政策和程序，以确保可接受地使用计算机和通信资源，并采取实际措施防止计算机信息和设备的丢失或损坏。

另一起事件是一名员工在与该公司高管面谈时，无意中记下了该高管的系统登录密码。后来，该员工悄悄使用高管的账号，登录到客户关系管理系统，下载了大量的客户名录。结果该员工不但被解聘，还吃了十几天牢饭，并把非法所得充了公。该高管也在后来的办公室政治中被拿这件事儿来压制，受了不少气。

要我说该员工缺乏规范意识，头脑简单，无知者无畏。从技术能力上讲，那么多IT系统管理员，特别是数据库管理员都可以轻松搞到大量客户名录，但是应该明白，IT系统管理员不是数据的所有者，只是数据的管家。就像以前的社会那样，管家管着财主很多钱，但要支配它们使用它们还都要财主说了算。当然，财主发给管理的工作报酬是管理可以自由支配和使用的。街头开锁的工匠也很明白这个道理，他们有能耐打开很多户家的门锁，但是人家没让他们开，他们可是不敢的。

我还要说该高管也是缺乏足够的安全意识，当着员工的面输入自己的密码，也不遮掩一下，这不就是把自己的安全弱点暴露给人家嘛！如果能稍稍注意一点，就能弃恶扬善，防范一起人间悲剧的发生。

越权访问

禁止未经授权访问计算机（硬件和软件）和通信资源（例如互联网、Web服务器、电子邮件）。禁止未经授权访问数据文件和自动化系统。拥有访问能力不代表拥有访问授权。

任何形式的篡改、窥探或黑客入侵计算机都违反安全政策，并带来严重后果，包括解雇和刑事指控。员工在离开现场时需要保护他们的计算机，并在每天结束时将其关闭。

在工作时间内，如果员工离开他/她的办公桌，则需要“锁定”计算机以防止未经授权的使用。使用Windows操作系统，同时按下Ctrl + Alt + Delete键并在屏幕上选择“锁定”选项即可完成此操作。也可以通过同时按下Windows键（在Alt键旁边的）和字母“L”来锁定计算机。

这两起安全事件案例就分享到这儿，职场经历多了，这种事情相信会见到很多。不管您碰到任何信息安全相关事件，都欢迎您拿来和我们分享，一起探讨如何通过信息安全意识教育来防范类似事件的再发。

昆明亭长朗然科技有限公司是最早将信息安全意识引入国内的探索者和领航者，我们帮助各类型组织机构建立适当的信息安全意识宣教计划，以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。我们的信息安全意识宣教内容资源，及网络安全宣传周活动方案被多家大型机构所采用，欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898