這使得我們不得不思考一個問題,針對信息系統(tǒng)如何建立我們的安全機制呢��?如何才能做到萬無一失呢���?
4.安全文化的引入
信息系統(tǒng)的安全雖然有其特殊性,但與其它安全管理相比也有很多共同性��,如消防安全�、交通安全、生產(chǎn)安全�、核安全。它們所管理的對象雖然不同�����,但其內(nèi)部基理卻有相通之處,這讓我們思考是否可以借用其成功的經(jīng)驗用于信息安全的管理呢�����?安全文化概念的引入對做好核安全工作起到了巨大的作用���,這也是人類經(jīng)歷了慘痛的教訓后得出的��,目前已在核工業(yè)得到了普遍的接受。
安全文化(safety culture)也有翻譯為安全素養(yǎng)的����,它強調(diào)的是在實踐中從上至下全員的安全意識和行為,即各個不同層次的人員����、組織都應履行其安全職責。這里特別提出的是���,安全不再是某個人�����、某個組織的責任��,而是全體人員�����、組織���,它強調(diào)的是整體的作用��。簡單闡述一下��,即國家一層應制定相應的政策�����、方針����,監(jiān)督��、管理機關應根據(jù)國家政策制定響應法規(guī)�、法律、技術文件����、導則�����、規(guī)范���,組織應有響應的程序、細則來保證執(zhí)行����,個人應有良好的行為和態(tài)度。在為達到安全目標這間工作上��,雖然各級組織的職責不同�,但應有一個共同的目標�����,即達到安全的目的�����。這一點是非常重要的��,這使得監(jiān)管和被監(jiān)管的雙方可以為一個共同目標來付出努力,從而使雙方有一個良好的態(tài)度來對待工作��。
從組織和個人對安全的態(tài)度來看����,可簡單地分三個階段,第一階段是認為安全就是遵從法律��、法規(guī)的約束���,只要實踐了這些法律����、法規(guī)就可以了��,這個時候安全是靠外部約束來達到目標的�,還處于被動階段;第二階段是組織將安全作為組織目標之一���,即安全已成為組織自覺努力的方向����,這個時候安全已成為組織工作的方向�,即使沒有外部約束���,它仍要努力達到;第三個階段是人為安全總是可以不斷改進的���,這一階段組織已將安全作為持續(xù)改進的工作���,這使得安全工作進入到一個良性循環(huán)中,隨著工作不斷�����、自覺的得到改進�����。
對照信息系統(tǒng)安全的現(xiàn)狀可以看到�����,目前信息系統(tǒng)的安全工作還主要集中在信息部門和監(jiān)管部門��,這使得我們的認識還停留在初級階段���,這也是為什么安全工作難做的重要原因��,信息部門和監(jiān)管部門的力量畢竟是有限的�����,如果得不到全員的支持�,安全工作很難做的好�����。另一個現(xiàn)象可以看到�,我們的信息安全還大部分停留在遵從法規(guī)和產(chǎn)品堆積階段,法規(guī)要求要有這個產(chǎn)品����,就采購一個,還不是從整體分析基礎來建立安全體系����,這種被動建立的安全是脆弱的、不連貫的��,往往是錢花了�����,效果不好。因此�,盡快將信息安全作為組織目標之一得到各級的認可,是做好信息安全非常重要的環(huán)節(jié)�。個人和組織對安全的態(tài)度在整個安全體系中發(fā)揮著重要作用,這方面給我們兩點啟示���,一個是決不能忽視個人對安全的貢獻���,片面的通過對個人的控制,而不是正面地激勵其對安全的貢獻����,是做信息安全的一個誤區(qū);二是不能過分依賴人的可靠性���,要考慮到人因素的不確定性�����,安全系統(tǒng)在涉及時就應該考慮到人因可能帶來的后果��,系統(tǒng)應能包容人因出差錯所帶來的損失。以上兩點是相輔相成的��,是一個事件的兩個方面。
