這使得我們不得不思考一個(gè)問(wèn)題，針對(duì)信息系統(tǒng)如何建立我們的安全機(jī)制呢？如何才能做到萬(wàn)無(wú)一失呢？

　　4.安全文化的引入

　　信息系統(tǒng)的安全雖然有其特殊性，但與其它安全管理相比也有很多共同性，如消防安全、交通安全、生產(chǎn)安全、核安全。它們所管理的對(duì)象雖然不同，但其內(nèi)部基理卻有相通之處，這讓我們思考是否可以借用其成功的經(jīng)驗(yàn)用于信息安全的管理呢？安全文化概念的引入對(duì)做好核安全工作起到了巨大的作用，這也是人類經(jīng)歷了慘痛的教訓(xùn)后得出的，目前已在核工業(yè)得到了普遍的接受。

　　安全文化（safety culture）也有翻譯為安全素養(yǎng)的，它強(qiáng)調(diào)的是在實(shí)踐中從上至下全員的安全意識(shí)和行為，即各個(gè)不同層次的人員、組織都應(yīng)履行其安全職責(zé)。這里特別提出的是，安全不再是某個(gè)人、某個(gè)組織的責(zé)任，而是全體人員、組織，它強(qiáng)調(diào)的是整體的作用。簡(jiǎn)單闡述一下，即國(guó)家一層應(yīng)制定相應(yīng)的政策、方針，監(jiān)督、管理機(jī)關(guān)應(yīng)根據(jù)國(guó)家政策制定響應(yīng)法規(guī)、法律、技術(shù)文件、導(dǎo)則、規(guī)范，組織應(yīng)有響應(yīng)的程序、細(xì)則來(lái)保證執(zhí)行，個(gè)人應(yīng)有良好的行為和態(tài)度。在為達(dá)到安全目標(biāo)這間工作上，雖然各級(jí)組織的職責(zé)不同，但應(yīng)有一個(gè)共同的目標(biāo)，即達(dá)到安全的目的。這一點(diǎn)是非常重要的，這使得監(jiān)管和被監(jiān)管的雙方可以為一個(gè)共同目標(biāo)來(lái)付出努力，從而使雙方有一個(gè)良好的態(tài)度來(lái)對(duì)待工作。

　　從組織和個(gè)人對(duì)安全的態(tài)度來(lái)看，可簡(jiǎn)單地分三個(gè)階段，第一階段是認(rèn)為安全就是遵從法律、法規(guī)的約束，只要實(shí)踐了這些法律、法規(guī)就可以了，這個(gè)時(shí)候安全是靠外部約束來(lái)達(dá)到目標(biāo)的，還處于被動(dòng)階段；第二階段是組織將安全作為組織目標(biāo)之一，即安全已成為組織自覺(jué)努力的方向，這個(gè)時(shí)候安全已成為組織工作的方向，即使沒(méi)有外部約束，它仍要努力達(dá)到；第三個(gè)階段是人為安全總是可以不斷改進(jìn)的，這一階段組織已將安全作為持續(xù)改進(jìn)的工作，這使得安全工作進(jìn)入到一個(gè)良性循環(huán)中，隨著工作不斷、自覺(jué)的得到改進(jìn)。

　　對(duì)照信息系統(tǒng)安全的現(xiàn)狀可以看到，目前信息系統(tǒng)的安全工作還主要集中在信息部門和監(jiān)管部門，這使得我們的認(rèn)識(shí)還停留在初級(jí)階段，這也是為什么安全工作難做的重要原因，信息部門和監(jiān)管部門的力量畢竟是有限的，如果得不到全員的支持，安全工作很難做的好。另一個(gè)現(xiàn)象可以看到，我們的信息安全還大部分停留在遵從法規(guī)和產(chǎn)品堆積階段，法規(guī)要求要有這個(gè)產(chǎn)品，就采購(gòu)一個(gè)，還不是從整體分析基礎(chǔ)來(lái)建立安全體系，這種被動(dòng)建立的安全是脆弱的、不連貫的，往往是錢花了，效果不好。因此，盡快將信息安全作為組織目標(biāo)之一得到各級(jí)的認(rèn)可，是做好信息安全非常重要的環(huán)節(jié)。個(gè)人和組織對(duì)安全的態(tài)度在整個(gè)安全體系中發(fā)揮著重要作用，這方面給我們兩點(diǎn)啟示，一個(gè)是決不能忽視個(gè)人對(duì)安全的貢獻(xiàn)，片面的通過(guò)對(duì)個(gè)人的控制，而不是正面地激勵(lì)其對(duì)安全的貢獻(xiàn)，是做信息安全的一個(gè)誤區(qū)；二是不能過(guò)分依賴人的可靠性，要考慮到人因素的不確定性，安全系統(tǒng)在涉及時(shí)就應(yīng)該考慮到人因可能帶來(lái)的后果，系統(tǒng)應(yīng)能包容人因出差錯(cuò)所帶來(lái)的損失。以上兩點(diǎn)是相輔相成的，是一個(gè)事件的兩個(gè)方面。