很多企业可能将安全方面的预算和资源都投入到软/硬件安全解决方案的采购与部署,侧重技防,而选择性忽略或者根本没有更多预算投入人防。实际上人防与技防处于同等重要的位置,基于技术的解决方案能够覆盖的领域是有限的,为什么这么说呢,下面的8大理由来说明信息安全意识提升的重要性。
1、国家高度重视
2014年习主席在中央网络安全和信息化领导小组第一次会议指出“没有网络安全就没有国家安全”,将网络安全上升到国家安全层面。
2017年6月,我国第一部全面规范网络空间安全管理方面问题的基础性法律《中华人名共和国网络安全》正式施行,关于关键基础设施安全保护,个人信息保护等方面的规范条例也将陆续出台。
2019年5月,千呼万唤的等级2.0终于正式发布,进一步规范了对信息系统的保护工作。
其实近几年国家都在大力的规范网络空间安全,出了很多政策,这里就步一一列举。
2、各种法律法规等监管条文明确提出对安全意识的要求
可以说近些年出台的安全法律法规都会提到提升相关人员安全意识的要求,如网络安全法第十九条各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作;等级保护2.0中6.1.7.3安全意识教育和培训 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;
3、网络安全事件频发,网络安全风险扩大
从徐玉玉电信诈骗到WannaCry事件,从雅虎邮箱数据泄露到Facebook事件,再到现在每隔一段就听到的安全事件,每次都是几十万到上千万的数据泄露量,恶意软件更新换代的速度比APP更新的频率还高,不知道什么时候就波及到自己的企业。
4、识别风险是防御安全风险的第一步
当一件事情发生的时候,要先识别这是一件坏事,才能做出应对的措施阻止或减低事情带来的风险。由此可见识别风险使多么的重要,然而识别使需要一定条件的,在企业中,员工需要有一定的知识才能识别自身行为给企业带来的风险,进而采取怎么的处理措施也是很重要的,安全意识培训就是提升员工对信息安全的知识,教会他们面对信息安全风险时应该怎么处理。
5、帮助建立用户对企业的信任和忠诚
尊重用户的安全和隐私是目前很多公司需要面临的一个重大问题,大家每天从各种新闻咨询中看到有关隐私泄露的消息,用户也很想知道委托的公司是否能合理使用和保护他们的信息。对用户进行安全意识教育体现了企业对用户的重视,这将增加用户对企业的信任和满意度。
6、更好的发挥安全防护软件的作用
文章的开头我们提到很多企业会购买安全的相关软硬件,但是员工可能在使用的过程中并没有体会到防护软件的作用,有的时候甚至为了方便会卸载/关闭防护软件,对员工进行安全意识培训,让员工感受到防护软件的作用,这样避免了很多违规操作的风险。
7、让员工理解企业的安全目标和政策
很多管理人员也觉得员工了解企业的信息管理制度是应该或者必须的,但是根据数据显示,只有3-4成的员工了解企业的安全要求,员工都不了解安全要求怎么按照要求去做呢?这是目前很多企业需要解决的问题,而安全意识教育是一个很好的途径。
8、不仅保护企业的资产,也可防范个人的资产
互联网的普及,移动支付的改变了很多人日常的行为,网络炒股也是普遍行为,手机银行也是使用比较频繁,这些通过网络流通的财产是否安全,我们的操作行为会不会对其造成风险,这些都是需要每个人关注,需要学习相关的安全知识,提升安全意识。
在企业内部,人为失误和缺少体系化的信息安全意识是企业数据泄露和安全威胁的首要原因。现阶段,很多企业在信息安全意识培训方面取得了很大进展,但仍有很多企业并没有把员工网络安全培训放在首要位置,因此,强调信息安全意识的重要性并有效地做到这一点,还有很多工作要做。
后面的文章再慢慢聊一聊安全意识培训应该怎么做。
