呂韓飛，王 鈞

(浙江警官職業(yè)學院信息技術與管理系，浙江杭州 310018)

據2010年最新統(tǒng)計資料顯示，和歐美等發(fā)達國家相比，中國的大部分企業(yè)的信息化水平都處于相對落后的狀態(tài)，在信息安全方面投入的財力物力，更可以說是天壤之別。尤其現(xiàn)在我們處在互聯(lián)網經濟和知識經濟時代，隨著越來越多中國企業(yè)的崛起，通過什么樣的手段來保護好特別是管理好信息資產，是讓絕大多數企業(yè)頭疼的一個難題。值得特別注意的是，隨著近幾年來各類企業(yè)的Internet聯(lián)網率逐步上升，各類安全事件也相應的迅速增長，層出不窮?？梢哉f信息安全問題已經成為各類企業(yè)在信息化改造進程中一個亟待解決的難題。

和歐美發(fā)達國家相比，中國的大部分企業(yè)在信息資產管理方面積累的經驗相對較少，有些企業(yè)即使進行了相應的資產管理，也不是根據策略或制度的規(guī)定在有意識的操作。在中國企業(yè)信息化改造和信息化應用中，經常漠視主動保護信息資產的行為。只有在面臨嚴重威脅的情況下，如信息資產遭受嚴重破壞，已經造成嚴重的直接、間接經濟和名譽等損失的情況下，才被動的開始重視這些問題，并采取有針對性的措施進行補救。總之，企業(yè)信息安全問題產生的一部分原因就源于不當的信息資產管理方式。

信息安全策略(Information Security Policy)從本質上來說是描述企業(yè)具有哪些重要信息資產，并說明這些信息資產如何被保護的一個計劃，其目的就是對企業(yè)中成員闡明如何使用企業(yè)中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術產品，用戶在使用信息時應當承擔什么樣的責任，詳細描述對員工的安全意識與技能要求，列出被企業(yè)禁止的行為。通常安全策略由企業(yè)管理層批準、印制及向全體員工公布，并能讓有關人員訪問和理解，這是整個安全管理體系有效運作的根本保證。目前我國企業(yè)在面對信息安全問題時面臨著很多的困難，主要表現(xiàn)為很多企業(yè)缺乏適合自身的信息安全策略，或者企業(yè)內部有信息安全策略但是執(zhí)行不到位，實施效果不好。

1 影響信息安全策略實施效果的關鍵因素

參考國外信息安全策略實施的先進經驗，通過對我國企業(yè)的實地調研，發(fā)現(xiàn)導致上述現(xiàn)狀的原因有三：一是制定策略的人員過于單調，導致信息安全策略不適合本公司的原因；二是策略缺乏可讀性和實用性的原因；三是策略執(zhí)行過程中的原因。即，影響信息安全策略實施效果的關鍵因素為制定信息安全策略的人員、信息安全策略本身和信息安全策略實施的過程。

1.1 制定信息安全策略的人員

如何制定簡單有效、權威的和容易推行的信息安全策略是一項難度很大的挑戰(zhàn)，信息安全策略制定人員的選擇對策略的實施效果有很大的影響。信息安全策略的制定者必須熟悉企業(yè)的歷史文化、規(guī)劃目標和發(fā)展方向，信息安全策略只有和中國企業(yè)的傳統(tǒng)和文化融合才容易得到大家的認同，大家才會主動遵守這些策略。企業(yè)的信息安全策略還需要為企業(yè)量身訂做，符合本行業(yè)的行規(guī)，符合本地區(qū)和中國的法律法規(guī)。而且信息安全策略的制定者不能只是在信息安全技術方面很精通，還要熟悉企業(yè)信息化的具體應用，掌握企業(yè)信息安全和技術解決方案的不足之處。

1.2 信息安全策略本身

1.2.1 信息安全策略的可讀性

信息安全策略如果可讀性好，執(zhí)行的時候就容易達到預期效果。信息安全策略包含的內容越多，員工在理解和執(zhí)行信息安全策略方面需要付出的努力就越多，如果信息安全策略包含模糊和不能理解的敘述，就會影響到日常信息安全目標的實現(xiàn)，也會給員工造成很大的困擾。

1.2.2 信息安全策略的實用性

大家經常聽到管理者的一句口頭禪就是“我們公司有信息安全策略”，但是事實上很多時候很多場合并沒有用到這些策略，它們只是作為文檔被收藏起來。一旦企業(yè)發(fā)生安全事故，很多員工甚至管理者還是慣性的采用過去的老經驗老做法，而不是參考經過細致研究后精心制定出來的信息安全策略，即使在很多知名企業(yè)和某些政府部門，也常?？梢钥吹竭@種狀況的出現(xiàn)。另外，信息安全策略是給信息安全威脅量身訂做的，在各種各樣的信息系統(tǒng)中，存在各種各樣的信息安全威脅，增加信息安全策略的針對性，能夠極大提高信息安全策略的實用性。

1.3 信息安全策略的實施過程

1.3.1 高層管理者的推動

經驗表明，高層管理者的大力支持對信息安全策略的推動作用很明顯。如果高層管理者對信息安全實施都不是特別重視的話，下面各部門往往不會特別積極的響應，在實際執(zhí)行過程中難免會打折扣，很難得到好的實施效果。因為實施信息安全策略肯定會增加各部門以及員工的工作量，很多人難免會有抵觸情緒。

1.3.2 培訓推廣與溝通機制

信息安全策略制定后，為了順利的實施，需要對全體員工進行推廣，根據企業(yè)的實際需要必須對員工進行培訓與溝通。因為不同部門的員工水平參差不齊，必須通過培訓推廣讓他們明白信息安全策略是什么，有什么好處，如何執(zhí)行，這樣信息安全策略才能順利地實施下去，否則只是紙面上的制度。

1.3.3 監(jiān)督和獎懲機制

沒有規(guī)矩，不成方圓。信息安全策略建立后，如果缺乏監(jiān)督和獎懲機制，干多干少一個樣，干好干壞一個樣，無法調動員工的積極性，那么整個信息安全策略肯定不會得到很好的實施。在實施過程中必須進行監(jiān)督，檢驗具體的實施效果。對執(zhí)行得好的部門以及個人進行獎勵，執(zhí)行的不好的部門和個人進行懲罰。

2 解決信息安全策略實施難的對策

前面分析了影響信息安全策略實施效果的三個關鍵因素，信息安全實施難的原因就是這些因素導致的，針對這些因素給出相應的對策如下：

2.1 選擇制定信息安全策略的合適人選

對于小型企業(yè)，技術負責人可以擔當信息安全策略的制定者，對于大型企業(yè)，最好成立一個特別工作組來充當信息安全策略的制定者。這個特別工作組由多方人員組成，主要負責的任務是持續(xù)的策略實施、評估和修訂。管理層還需要任命一位高層人士來指導和協(xié)調特別工作組的工作，表示對信息安全策略的重視。

信息安全策略屬于管理策略的一種，因此各級管理層必須參與到這項工作中來，而安全人員和技術人員也不可或缺，他們能提供良好的技術支持。而且信息安全策略對企業(yè)的業(yè)務發(fā)展有很大的影響，所以業(yè)務人員也要派代表參加，這樣的工作組就能夠聽取各方意見，保證實行信息安全控制措施的代價和實施效果比較合理。如果企業(yè)屬于上市企業(yè)，應該召開股東大會，對所編寫的信息安全策略和規(guī)程進行表決，董事會和股東代表表決同意以后，還需要進行公示征求員工代表和律師的合理建議，保證最后的信息安全策略符合法律法規(guī)。員工代表和股東代表參與到制定工作能夠加強信息安全策略的推廣力度，增加可信性，而且人多力量大，容易發(fā)現(xiàn)一些容易被忽略的細節(jié)問題。讓企業(yè)的最高管理層認同了信息安全策略并從上向下推行，更容易影響整個企業(yè)人員的行為。在整個信息安全策略制定的漫長過程中，需要尊重并收集好高層管理者、部門經理和普通工作人員的意見,只有這樣才能在實施信息安全策略的時候得到好的實施效果。

2.2 制定一個合適的信息安全策略

信息安全策略本身的原因主要包括：可讀性、實用性。所以制定一個合適的信息安全策略需要在這兩方面做針對性的改進。

(1)提高信息安全策略的可讀性。首先加強資料收集和調研階段的工作，這非常重要，很多時候因為工作量和實施難度的原因，這些工作被簡化操作了。資料收集不全，調研不夠充分會導致新制定的信息安全策略無法與企業(yè)的真正安全需求保持一致，也無法確保策略中的要求與管理目標相一致，可讀性肯定不好。其次加強信息安全策略的評審工作。信息安全策略的制定過程有很高的政策性和個性，通常由各級管理層，員工代表，安全人員和技術人員等組成一個評審小組，在制定信息安全策略的過程中進行幾輪評審，反復的評審過程能夠讓策略更加清晰、簡潔，可讀性更好，所以在評審的過程中需要調動大家的參與積極性，盡量減弱抵觸情緒。

(2)提高信息安全策略的實用性。首先要弄清楚企業(yè)內部信息系統(tǒng)體系結構。信息安全策略應當與已有的信息系統(tǒng)結構相一致，并對其完全支持，而不是另起爐灶。這一點是針對信息系統(tǒng)體系結構，而不是針對信息安全體系結構。信息安全策略一般在信息系統(tǒng)體系結構確立以后來制定，以保障信息安全體系順利的實施、運行。比如，互聯(lián)網訪問控制策略可使信息系統(tǒng)安全體系結構具體化，也有利于選擇和實施恰當的防病毒軟件和防火墻產品。其次應當參考一份最近的信息審計或風險評估報告，以便深入了解企業(yè)當前的信息安全需求。如果有對曾出現(xiàn)的安全事件的總結報告，也是一份很有參考價值的資料。根據這些資料召開相關人員會議，比如首席信息官、物理安全主管、信息安全主管、內部審計主管和人力資源主管等，制定出來的信息安全策略實用性會很高。

2.3 有效地實施信息安全策略

(1)獲得高層管理者的大力支持。高層管理者的影響力比較大，而且范圍廣，尤其中國企業(yè)的現(xiàn)狀是領導重視了，下面會更加重視。因為信息安全策略的實施會對部門和員工帶來額外的工作量，而且有時候不能看到直接的好處，有些人會有一些消極情緒。獲得高層管理者的大力支持，信息安全策略實施起來阻力會比較小。我國著名的華為公司，剛開始信息安全策略實施也不順利，很多研發(fā)部門的員工認為額外工作量大，抵觸情緒很大。后來出了“滬科”源代碼被盜案以后，以總裁任正非為首的高層領導者非常重視信息安全策略的制定以及實施，在他們的大力支持下，華為公司后來的信息安全策略實施順利了很多，信息安全管理水平也上了一個臺階。

(2)加強推廣和培訓。信息安全策略制定后，不能全公司推廣，讓全體員工來實施的話沒有任何意義。

首先推廣過程中要指定好信息安全策略實施的負責人。按部門或實際情況指定負責人，落實責任。確保在在信息安全策略實施過程中，員工遇到問題知道應該聯(lián)系誰來解決。

其次做好培訓工作。新策略應發(fā)布在企業(yè)內部網站上，加入相關鏈接讓用戶能很快找到感興趣的材料。培訓課程應該通過錄像或培訓軟件存檔，方便大家學習。針對不同策略對象可能需要制作不同的培訓課程。培訓可以分為正規(guī)培訓與非正規(guī)培訓兩種方式。

正規(guī)培訓的方式可以是會議或講座的形式。正規(guī)培訓的一個好處是使員工更加重視提高信息安全意識，因為他們知道這樣的表述需要花費大量資源、人力和金錢。同時強調了這樣一個事實：公司非常重視信息安全而且采用了嚴肅的方式教育員工來保護信息資產；而對他們的要求僅是一點時間和精力。正規(guī)培訓的另一個顯著的優(yōu)點是培訓的信息、指導和陳述被廣泛傳播，因此，每次可通過這個方式培訓到很多人，與一對一的方式相比將節(jié)省很多時間。

非正規(guī)的培訓方式可以是通過郵件提醒、討論、張貼、屏幕保護程序、鼠標墊、杯子、膠貼物等多種形式發(fā)布安全方面的消息。這種方式的好處是不像正規(guī)培訓方式需要強迫人們接受。這種方式是非常人性化的，用戶友好的而且高效的，因為與他們的日常生活及公司中的工作流程息息相關。也可以是員工問問題、信息安全代表作答的討論會，這種非正式的討論是另一種教育和衡量員工技術的高效方式，氣氛通常更加平靜。這是受推薦的與員工溝通的方式，因為它發(fā)起雙向會話覆蓋許多要點。

培訓之后還應該調查員工是否理解安全策略文檔中的重點，通過考試確定是否要增加培訓。

(3)加強監(jiān)督，獎懲分明。當適合企業(yè)當前狀況的信息安全策略制定好之后，應當編輯一個反映部門以及員工該如何遵守信息安全策略的法律協(xié)議表，或直接體現(xiàn)在員工勞動和保密合同中。在新的策略實施時，制定自我評估調查表，填寫實施情況，就能明確哪些部門和員工沒有遵守好、哪些地方需要額外加強控制。信息安全策略執(zhí)行得好進行獎勵，執(zhí)行得差進行懲罰。

受文化環(huán)境等綜合因素的影響，國內很多企業(yè)的員工甚至有些企業(yè)的管理者信息安全意識薄弱，例如，在實施企業(yè)信息化建設的過程中，經常有某些企業(yè)員工私自安裝公司規(guī)章制度里面不允許使用的非法或盜版軟件、卸載掉統(tǒng)一安裝在電腦上的殺毒軟件客戶端等事件，最后導致被其他公司起訴侵權，或者木馬和病毒泛濫等嚴重后果。一些最常見的理由比如：我需要這個軟件來輔助更快完成工作、防病毒軟件太占CPU資源，我需要機器的速度快一些等等，但其實發(fā)生這些事情的最重要因素，是缺乏監(jiān)督和獎懲機制或者有機制執(zhí)行不力。如果有監(jiān)督與獎懲機制并認真執(zhí)行的話，這些問題會很早被發(fā)現(xiàn)而制止掉，違反策略的員工會被罰款，造成嚴重后果的降職甚至開除。這樣大家就不敢漠視公司的信息安全策略，可以保護公司的信息資產。

3 結論

針對我國企業(yè)信息安全策略實施困難的現(xiàn)狀，經過調研分析，找出影響信息安全策略實施效果的三個關鍵因素：制定信息安全策略的人，信息安全策略本身，信息安全策略的實施過程。并給出針對性的改進建議，幫助企業(yè)更好的解決信息安全策略實施困難的問題。

[1]BARMAN S.編寫信息安全策略[M].段海新,劉 彤,譯.北京:人民大學出版社,2002.

[2]DANCHEV D.Building and Implementing a Successful Information Security Policy[DB/OL].[2003-06-25]http://www.windowsecurity.com/pages/security-policy.pdf

[3]常建軒.企業(yè)信息安全策略成功實施的影響因素研究[D].杭州:浙江大學,2007.