【51CTO.com 綜合消息】在建設(shè)信息安全管理體系時，提高企業(yè)人員的信息安全意識是一項非常重要且又困難重重的任務(wù)。首先，提高員工信息安全意識是各種信息安全管理體系標(biāo)準(zhǔn)中共同的要求，無論是ISO27001系列，還是國內(nèi)的等保標(biāo)準(zhǔn)，都會提到對人員的管理，以及提高人員的信息安全意識的要求；雖然在標(biāo)準(zhǔn)中提到的是“適當(dāng)?shù)囊庾R培訓(xùn)和組織方針及程序的定期更新培訓(xùn)”，但培訓(xùn)的最終目的，無非就是從實質(zhì)上提高企業(yè)全體工作人員的信息安全意識。

其次，提高人員的信息安全意識又是安全項目中很容易被忽視的環(huán)節(jié)，提供咨詢或培訓(xùn)服務(wù)的專業(yè)人員雖然會在項目期間提供一整套信息安全意識培訓(xùn)課程，并為企業(yè)為日后的日常培訓(xùn)留下建議和參考資料，企業(yè)員工也會為了學(xué)習(xí)相關(guān)知識而收集資料，為企業(yè)積累了大量的知識，但是企業(yè)的信息安全管理者在利用這些經(jīng)驗和資源來對員工進(jìn)行信息安全意識教育時，卻發(fā)現(xiàn)有很多困難，例如：企業(yè)有大量相關(guān)知識，分散在各個服務(wù)器、系統(tǒng)、個人電腦，甚至個人的頭腦中，需要時卻找不到；文檔資料存在不同版本，每個人手頭上拿到的都不一致，信息不對等，造成混亂和重復(fù)勞動；新員工入職，一時間無從下手，不知道閱讀學(xué)習(xí)哪些內(nèi)容，很難進(jìn)入學(xué)習(xí)狀態(tài)；關(guān)鍵員工離職，公司業(yè)務(wù)、文檔、重要數(shù)據(jù)等深受影響；公司跨地域管理，組織中的各個部門，辦事處或子公司在地里上分散，導(dǎo)致信息共享困難，效率低下……這些問題歸根結(jié)底都屬于同一個類型：缺乏對企業(yè)的知識進(jìn)行有效的管理。

那么什么是知識管理呢？

知識管理（KM，Knowledge Management）是網(wǎng)絡(luò)新經(jīng)濟(jì)時代的新興管理思潮與方法，管理學(xué)者彼得•杜拉克早在一九六五年即預(yù)言：“知識將取代土地、勞動、資本與機(jī)器設(shè)備，成為最重要的生產(chǎn)因素?！笔艿?990年代的資訊化蓬勃發(fā)展，知識管理的觀念結(jié)合網(wǎng)際網(wǎng)絡(luò)建構(gòu)入口網(wǎng)站、資料庫以及應(yīng)用電腦軟件系統(tǒng)等工具，成為企業(yè)累積知識財富，創(chuàng)造更多競爭力的新世紀(jì)利器。上個世紀(jì)90年代，面對著企業(yè)核心競爭力從以資本和自然資源為核心的模式轉(zhuǎn)變到以知識資本為核心的模式，Karl-Erik Sveiby 博士提出了知識管理的管理概念。

所謂的知識管理是指基于企業(yè)知識生命周期管理，整合企業(yè)內(nèi)部知識資產(chǎn)，同具體業(yè)務(wù)流程相結(jié)合，以提高企業(yè)核心競爭力的管理模式。在知識經(jīng)濟(jì)時代，對企業(yè)內(nèi)部知識資本進(jìn)行管理業(yè)已成為企業(yè)提高核心競爭力的必要之選。 與信息安全相關(guān)的知識亦屬于企業(yè)的知識資產(chǎn)，信息安全知識管理，亦屬于企業(yè)知識管理的大范疇，在知識經(jīng)濟(jì)的大環(huán)境下，企業(yè)搭建知識管理平臺進(jìn)行知識管理已成為幫助企業(yè)應(yīng)對企業(yè)知識資本相關(guān)難題的有效解決方案。通過建立知識管理系統(tǒng)，整合企業(yè)內(nèi)部知識資本，實現(xiàn)企業(yè)知識管理，能夠有效解決信息安全意識教育面臨的那些困難，即員工將更有效的利用和共享信息安全相關(guān)的知識。

信息安全知識管理所需要的平臺應(yīng)該具備哪些基礎(chǔ)功能呢？

一、通過知識管理將信息安全知識進(jìn)行積累，通過平臺保存起來。

這是信息安全知識管理的基礎(chǔ)。知識的積累，首先要整合知識，一方面是將員工頭腦中的隱性知識通過消化和總結(jié)轉(zhuǎn)化為可以保存在系統(tǒng)平臺上的顯性知識；另一方面將員工從其他地方收集的資料通過改造和提煉，提交到系統(tǒng)平臺上；再對知識進(jìn)行整合，形成易于學(xué)習(xí)和理解的知識表現(xiàn)形式。其次要對知識進(jìn)行評價，將整合好的知識進(jìn)行評估，分析知識的價值和實用性，以便對知識進(jìn)行更新。

因此在知識采集時應(yīng)該能夠在企業(yè)異構(gòu)、分布式信息環(huán)境下使用這樣才能為企業(yè)整合內(nèi)部知識資產(chǎn)建立堅實的基礎(chǔ)。而且應(yīng)該能夠支持多種資料來源，可以將不同格式資料（word/excel/PDF/TXT等）存儲于系統(tǒng)中。而且系統(tǒng)應(yīng)該具備強(qiáng)大的系統(tǒng)擴(kuò)充性，以實現(xiàn)大型企業(yè)用戶的使用。

二、通過門戶方式將積累的信息安全知識在公司內(nèi)進(jìn)行共享。

知識共享是知識管理的目的。因此知識在發(fā)布時需要比較靈活的目錄結(jié)構(gòu)，以適應(yīng)企業(yè)中復(fù)雜的知識環(huán)境；靈活的檢索和知識地圖將方便用戶在海量數(shù)據(jù)找到所需知識；完善的安全和權(quán)限管理機(jī)制使知識的共享和保密達(dá)到一個有利的平衡。

這僅僅是通常意義上對知識管理平臺的基本要求，回到我們的主題——信息安全知識管理上來。在目前市場上，專業(yè)做知識管理平臺的廠商有很多，但通常僅僅提供系統(tǒng)軟件，而專業(yè)的信息安全知識是任何一家軟件廠商無法提供的。企業(yè)用戶利用知識管理平臺積累信息安全知識也不是不可以，但畢竟也不是專業(yè)安全機(jī)構(gòu)，從頭做起必然花費(fèi)很多人力物力，因此，將專業(yè)的事交給專業(yè)的機(jī)構(gòu)是現(xiàn)代企業(yè)的必然選擇。

北京谷安天下科技有限公司的IT風(fēng)險管理系統(tǒng)（ITRM）正是涵蓋了以上需求的一款軟件，知識管理平臺雖然僅僅是IT風(fēng)險管理系統(tǒng)的一小部分功能，僅僅就知識管理這部分而言，這個軟件就實現(xiàn)了平臺化管理知識，以及專業(yè)公司提供專業(yè)的知識本身這兩大需求。谷安天下經(jīng)過多年的相關(guān)領(lǐng)域咨詢經(jīng)驗，積累了大量的信息安全知識，并不斷的進(jìn)行更新和調(diào)整，通過IT風(fēng)險管理系統(tǒng)的“知識管理”模塊來發(fā)布，可以使客戶在使用本系統(tǒng)之初，就站在了巨人的肩膀上，而平臺本身具備的功能，企業(yè)可以靈活添加和管理自己的知識。 

圖1 知識地圖

通過系統(tǒng)平臺管理信息安全知識，企業(yè)員工通過使用平臺來學(xué)習(xí)和管理信息安全相關(guān)的知識，是我們進(jìn)行信息安全意識教育的一種途徑，它與課堂培訓(xùn)相輔相成，最終達(dá)到提高全員信息安全意識的目的。

【編輯推薦】

1. 信息安全管理體系在基金公司的實踐
2. 信息安全管理體系在保險行業(yè)的實踐