這使得我們不得不思考一個問題�����,針對信息系統(tǒng)如何建立我們的安全機(jī)制呢?如何才能做到萬無一失呢���?
4.安全文化的引入
信息系統(tǒng)的安全雖然有其特殊性�,但與其它安全管理相比也有很多共同性�����,如消防安全���、交通安全����、生產(chǎn)安全�����、核安全�。它們所管理的對象雖然不同,但其內(nèi)部基理卻有相通之處���,這讓我們思考是否可以借用其成功的經(jīng)驗(yàn)用于信息安全的管理呢����?安全文化概念的引入對做好核安全工作起到了巨大的作用,這也是人類經(jīng)歷了慘痛的教訓(xùn)后得出的���,目前已在核工業(yè)得到了普遍的接受����。
安全文化(safety culture)也有翻譯為安全素養(yǎng)的��,它強(qiáng)調(diào)的是在實(shí)踐中從上至下全員的安全意識和行為�,即各個不同層次的人員、組織都應(yīng)履行其安全職責(zé)��。這里特別提出的是�����,安全不再是某個人��、某個組織的責(zé)任�����,而是全體人員、組織��,它強(qiáng)調(diào)的是整體的作用��。簡單闡述一下�����,即國家一層應(yīng)制定相應(yīng)的政策�、方針�,監(jiān)督、管理機(jī)關(guān)應(yīng)根據(jù)國家政策制定響應(yīng)法規(guī)�����、法律���、技術(shù)文件��、導(dǎo)則��、規(guī)范���,組織應(yīng)有響應(yīng)的程序、細(xì)則來保證執(zhí)行,個人應(yīng)有良好的行為和態(tài)度���。在為達(dá)到安全目標(biāo)這間工作上�����,雖然各級組織的職責(zé)不同�����,但應(yīng)有一個共同的目標(biāo)��,即達(dá)到安全的目的�����。這一點(diǎn)是非常重要的����,這使得監(jiān)管和被監(jiān)管的雙方可以為一個共同目標(biāo)來付出努力���,從而使雙方有一個良好的態(tài)度來對待工作�����。
從組織和個人對安全的態(tài)度來看�����,可簡單地分三個階段�,第一階段是認(rèn)為安全就是遵從法律、法規(guī)的約束���,只要實(shí)踐了這些法律、法規(guī)就可以了����,這個時(shí)候安全是靠外部約束來達(dá)到目標(biāo)的,還處于被動階段��;第二階段是組織將安全作為組織目標(biāo)之一����,即安全已成為組織自覺努力的方向,這個時(shí)候安全已成為組織工作的方向���,即使沒有外部約束���,它仍要努力達(dá)到����;第三個階段是人為安全總是可以不斷改進(jìn)的�,這一階段組織已將安全作為持續(xù)改進(jìn)的工作,這使得安全工作進(jìn)入到一個良性循環(huán)中���,隨著工作不斷����、自覺的得到改進(jìn)�。
對照信息系統(tǒng)安全的現(xiàn)狀可以看到,目前信息系統(tǒng)的安全工作還主要集中在信息部門和監(jiān)管部門�,這使得我們的認(rèn)識還停留在初級階段,這也是為什么安全工作難做的重要原因�,信息部門和監(jiān)管部門的力量畢竟是有限的,如果得不到全員的支持����,安全工作很難做的好。另一個現(xiàn)象可以看到���,我們的信息安全還大部分停留在遵從法規(guī)和產(chǎn)品堆積階段��,法規(guī)要求要有這個產(chǎn)品����,就采購一個,還不是從整體分析基礎(chǔ)來建立安全體系����,這種被動建立的安全是脆弱的、不連貫的�,往往是錢花了,效果不好���。因此��,盡快將信息安全作為組織目標(biāo)之一得到各級的認(rèn)可,是做好信息安全非常重要的環(huán)節(jié)����。個人和組織對安全的態(tài)度在整個安全體系中發(fā)揮著重要作用,這方面給我們兩點(diǎn)啟示����,一個是決不能忽視個人對安全的貢獻(xiàn),片面的通過對個人的控制�����,而不是正面地激勵其對安全的貢獻(xiàn),是做信息安全的一個誤區(qū)�����;二是不能過分依賴人的可靠性����,要考慮到人因素的不確定性,安全系統(tǒng)在涉及時(shí)就應(yīng)該考慮到人因可能帶來的后果��,系統(tǒng)應(yīng)能包容人因出差錯所帶來的損失����。以上兩點(diǎn)是相輔相成的,是一個事件的兩個方面����。
