安全業(yè)內(nèi)廣泛流傳著“三分技術(shù)、七分管理”的說(shuō)法，說(shuō)明制度的建立和落地是何其的重要，據(jù)悉，超過(guò)70%的信息安全威脅來(lái)自企業(yè)內(nèi)部，其核心數(shù)據(jù)的流失居然有80%源于內(nèi)部人員的違規(guī)操作或管理疏忽，這樣看來(lái)我們必須要討論一下安全制度的落地問(wèn)題了。

一、安全制度落地何其重要

信息安全是任何國(guó)家、政府、部門(mén)、行業(yè)都十分重視的戰(zhàn)略問(wèn)題，談到信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)之道，多數(shù)流行的安全理論和標(biāo)準(zhǔn)都從制度管理和技術(shù)防范兩個(gè)方面來(lái)研究解決，二者相輔相成，通常認(rèn)為制度管理在實(shí)際安全工程中的地位相對(duì)較高，是信息安全管理的基礎(chǔ)，建立健全各項(xiàng)信息安全制度是進(jìn)行安全管理的***步，正如業(yè)內(nèi)廣泛流傳的“三分技術(shù)、七分管理”，集中反映的也是這個(gè)道理。保障企業(yè)信息安全，無(wú)論技術(shù)防范如何健全，歸根到底還是要依托管理制度的完善，并最終落實(shí)到人的執(zhí)行效果上。

根據(jù)一份針對(duì)網(wǎng)絡(luò)安全的專項(xiàng)調(diào)查結(jié)果顯示，目前，超過(guò)70%的信息安全威脅來(lái)自企業(yè)內(nèi)部，其核心數(shù)據(jù)的流失實(shí)際上有80%左右源于內(nèi)部人員的違規(guī)操作或疏于管理，而只有約20%來(lái)自外部的侵犯。前不久，引起世人廣泛關(guān)注的美國(guó)大兵布拉德利•曼寧通過(guò)“維基揭秘”網(wǎng)站公開(kāi)美國(guó)數(shù)十萬(wàn)份機(jī)密文件的事件，就是一個(gè)極為典型的案例，作為情報(bào)分析員，曼寧能夠一連8個(gè)月，一周7天，每天14個(gè)小時(shí)地閱讀機(jī)密情報(bào)，但他同時(shí)也可以將這些機(jī)密數(shù)據(jù)下載并復(fù)制給了“維基揭秘”的創(chuàng)始人阿桑奇，并由此引發(fā)軒然大波。不難判斷，曼寧所在的部門(mén)一定會(huì)有相關(guān)的管理制度，但如果不能完善并落到實(shí)處，所導(dǎo)致的結(jié)果將會(huì)觸目驚心。無(wú)獨(dú)有偶，在愈演愈烈的“棱鏡門(mén)”事件中，作為美國(guó)國(guó)家安全局設(shè)在夏威夷的威脅行動(dòng)中心系統(tǒng)管理員，斯諾登也可以堂而皇之地將高密級(jí)信息順利帶出美國(guó)，沒(méi)有人否認(rèn)美國(guó)信息安全技術(shù)的先進(jìn)性，但與其蹩腳的管理相比，一切只能是“水中月、鏡中花”而已。因此，在信息安全管理工作中，完善和落實(shí)信息安全管理制度與技術(shù)防御相比，發(fā)揮著更為關(guān)鍵的作用!

二、如何建立行之有效的安全管理體系

目前企業(yè)內(nèi)部一般都有許多針對(duì)網(wǎng)絡(luò)、系統(tǒng)、信息方面的安全管理制度，但是這些制度通常都是為某方面的安全問(wèn)題制定的，沒(méi)有建立起一個(gè)系統(tǒng)的、分級(jí)分層的、能夠?qū)W(wǎng)絡(luò)信息安全的各個(gè)主要方面都能有效約束的制度體系。而缺乏體系性的安全制度，對(duì)于大型企業(yè)來(lái)說(shuō)，往往會(huì)在不同部門(mén)、不同系統(tǒng)、不同人員之間產(chǎn)生一些管理誤區(qū)和盲區(qū)，導(dǎo)致其權(quán)威性和嚴(yán)肅性大打折扣。

一個(gè)好的信息安全的制度體系，首先要制定目前缺乏的各級(jí)管理制度，同時(shí)完善已經(jīng)制定的各級(jí)管理制度，使其自上而下對(duì)各級(jí)部門(mén)和具體應(yīng)用系統(tǒng)都具有相應(yīng)約束力。一般來(lái)講，建立安全制度體系需要遵循一定的原則，并根據(jù)制度的級(jí)別不同由相應(yīng)的部門(mén)制定和監(jiān)督執(zhí)行。企業(yè)級(jí)的信息安全制度應(yīng)由企業(yè)網(wǎng)絡(luò)信息安全管理部門(mén)(信息中心)來(lái)制定;部門(mén)級(jí)的安全制度由各部門(mén)在企業(yè)安全制度的基礎(chǔ)上根據(jù)自身特點(diǎn)來(lái)制定;系統(tǒng)級(jí)的安全制度則要根據(jù)具體應(yīng)用系統(tǒng)的技術(shù)、管理和使用要求，同時(shí)在遵循前述兩級(jí)安全制度的前提下，由系統(tǒng)管理機(jī)構(gòu)來(lái)制定和執(zhí)行。

一個(gè)好的信息安全管理體系，還要具備較強(qiáng)的可操作性。目前很多信息安全制度更多的使用了綜合性的禁止性條款，如“任何部門(mén)或者個(gè)人，不得利用計(jì)算機(jī)信息系統(tǒng)從事危害國(guó)家利益、集體利益和公民合法利益的活動(dòng)。不得危害計(jì)算機(jī)信息系統(tǒng)的安全。”等等，而沒(méi)有具體的許可性條款和詳細(xì)的禁止性條款。這種大一統(tǒng)方式往往停留于口號(hào)和原則層次上，難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)發(fā)展和越來(lái)越多的企業(yè)信息網(wǎng)絡(luò)安全的具體問(wèn)題，在實(shí)踐中給落實(shí)工作造成了很大的困難。因此，企業(yè)在制定信息安全管理制度過(guò)程中，要考慮到一些實(shí)際的突發(fā)情境和需重點(diǎn)防范的內(nèi)容，圍繞這些情況，制定詳細(xì)的應(yīng)對(duì)措施、操作規(guī)程和管理步驟，使被管理者在現(xiàn)實(shí)工作中能夠方便地遵照?qǐng)?zhí)行，并可以根據(jù)技術(shù)的發(fā)展和情況的變化，對(duì)管理制度及時(shí)做出適當(dāng)?shù)恼{(diào)整與修訂。

一個(gè)好的信息安全管理體系，還要能與技術(shù)系統(tǒng)相互融合、相互促進(jìn)，并兼顧以人為本的原則。企業(yè)的一切管理活動(dòng)都應(yīng)以制度為基礎(chǔ)，技術(shù)系統(tǒng)的運(yùn)轉(zhuǎn)與維護(hù)應(yīng)該服務(wù)于管理的需要，管理制度的制定與完善也應(yīng)考慮到技術(shù)系統(tǒng)運(yùn)作的機(jī)械性、嚴(yán)格性特點(diǎn)，不能將模糊的、易變的管理制度用于技術(shù)系統(tǒng)運(yùn)作的管理之中，同時(shí)還要設(shè)法不斷提高相關(guān)管理人員、技術(shù)人員、使用和操作人員的技術(shù)素養(yǎng)和道德水平，使得信息安全的管理更加專業(yè)化和人性化。#p#

三、安全制度落地三法

根據(jù)筆者的經(jīng)驗(yàn)，做好制度落地工作應(yīng)主要從以下三個(gè)方面，入手：

一是要把制度落實(shí)作為“一把手工程”來(lái)抓。由于企業(yè)主官對(duì)于信息安全工作重視程度不足，忽視了制度落實(shí)工作，進(jìn)而導(dǎo)致企業(yè)核心競(jìng)爭(zhēng)力的損失往往是無(wú)法彌補(bǔ)的。具有戰(zhàn)略眼光的企業(yè)領(lǐng)導(dǎo)人一定會(huì)把信息安全當(dāng)做戰(zhàn)略問(wèn)題來(lái)抓，解決問(wèn)題的關(guān)鍵就是安全制度的有效落實(shí)!有了企業(yè)“一把手”的重視和支持，“上行下效”，可以將這種執(zhí)行力有效地投射到企業(yè)各個(gè)部門(mén)，在每個(gè)人的意識(shí)上也會(huì)真正重視起來(lái);同時(shí)，還可以有效調(diào)動(dòng)信息安全管理部門(mén)的積極性和主動(dòng)性，通過(guò)技術(shù)設(shè)備和安全策略等多種手段預(yù)防、控制和追查失泄密行為。

二是要加大執(zhí)行制度落實(shí)重要性的宣傳教育力度。安全制度的落實(shí)力度不夠，主要體現(xiàn)在企業(yè)人員認(rèn)識(shí)不到位、防范意識(shí)不強(qiáng)，這種思想上的麻痹和松懈讓管理制度成為一紙空文，加大了信息安全隱患。因此，企業(yè)內(nèi)部要合理利用多種時(shí)機(jī)，采用多種形式，加強(qiáng)信息安全宣傳教育，特別是要注重將信息安全理念融入企業(yè)文化，使員工的企業(yè)忠誠(chéng)度和以信息安全意識(shí)、知識(shí)、能力和道德為內(nèi)涵的信息安全素養(yǎng)得到同步提升;努力加深員工與企業(yè)的感情，弱化利益誘惑的動(dòng)機(jī);樹(shù)立員工良好的信息安全意識(shí)，時(shí)刻牢記信息是決定企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵要素，信息安全關(guān)乎到企業(yè)的生死存亡和每個(gè)人的切身利益;加強(qiáng)員工信息安全責(zé)任心，時(shí)刻警惕身邊的信息安全隱患，隨時(shí)完善制度上的缺陷。

三是加大對(duì)制度執(zhí)行情況的督查和獎(jiǎng)懲力度。在企業(yè)內(nèi)部建立針對(duì)信息安全制度執(zhí)行情況進(jìn)行監(jiān)督檢查的長(zhǎng)效機(jī)制，及時(shí)發(fā)現(xiàn)制度執(zhí)行過(guò)程中存在的問(wèn)題與風(fēng)險(xiǎn)隱患，盡快組織整改落實(shí)，確保信息安全工作切實(shí)有效;同時(shí)，要把企業(yè)各部門(mén)信息安全管理制度執(zhí)行情況與部門(mén)考核、個(gè)人考核掛鉤，實(shí)行一票否決制，對(duì)于因失職、安全意識(shí)淡薄、甚至故意泄露企業(yè)秘密的行為要依據(jù)法律法規(guī)和相關(guān)制度追究當(dāng)事人的責(zé)任。