本周要闻

正文

EISS 新分享 | 直面企业安全文化建设的思考与倡议
 

企业安全文化,是企业在自身信息安全建设上不断发展形成的行为模式体现。

用对方法,选好工具,对于提升企业自身安全文化建设、做好自身信息安全建设来说事半功倍。

11月24日,EISS-2017 企业信息安全峰会暨安全+沙龙年会在上海举办。“直面信息安全挑战,创造最佳实践”,约有300位来自于各行业的企业信息安全负责人,安全专家出席本次峰会,共同探讨企业信息安全现状及未来。

 

1

 

作为连续参加两届EISS、并都在开幕致辞的嘉宾,来自上海市信息安全行业协会的副秘书长、易念科技CEO 王怀宾 先生,今年又给我们带来了他在近期工作中的一些感悟和心得与大家分享。

 

2

易念科技CEO 王怀宾(Robin)

 

作为一位从事信息安全工作20年的老兵,Robin在去年的EISS上的分享上,从信息安全意识教育的角度探讨了企业安全管理者的价值体现。

今年,他从安全文化建设入手,分享演讲《企业信息安全文化建设思考与倡议》,对企业信息安全文化谈了三点理解和两个建议。

什么是信息安全文化?什么是“信息安全文化”?

在维基百科中,Information Security Culture(信息安全文化)的解释和定义是:一个组织中保护信息的各种行为模式总和。

Robin认为,一个企业面临的安全威胁等级,将会经历“风险阶段(Danger)”、“合规阶段(Compliance)”、“变更阶段(Change)”“意识阶段(Mind)”、“文化阶段(Culture)”。

 

3

这五个阶段呈“金字塔”形式。风险阶段,未采取任何防范措施,企业处于信息泄漏和违规风险之中;合规阶段,仅为满足合规要求,被动开展相关的活动;变更阶段,认识到信息安全风险,并主动采取相关活动;意识阶段,长期维持高安全意识水平;文化阶段,安全度量因素融入企业文化,形成“安全=业务=发展”的高度。

如此总结的五个阶段,其实适用于大部分企业度量自身在信息安全管理上的水平和当前所处的安全管理阶段。

等级越高,企业的整体信息安全管理愈加稳固、可靠。围绕这一目标,企业可以循序渐进地去尝试不断增益自身的企业安全文化建设。

 

安全事件,促使我们的进一步思考

安全圈的一些变革、进步,往往都是从事件驱动而产生的。因为安全事件的发生,让大家重新思考过去的得失。

分析今年报道的安全事件,统计发现造成安全事件的首要原因如下:

1、10%的安全问题源自底层的技术缺陷,如各种0 day。

2、15%的问题出自管理不当,如没有及时打补丁;

3、25%的问题源自未能及时发现与处置,缺乏安全岗位或技能;

4、50%问题源自误操作、弱密码等员工安全意识薄弱。

 

4

 

技术层面的缺陷,企业可以从技术层面去解决。重点在于人的本身,尤其是安全意识薄弱。

因此,企业安全文化建设的重点在于人的技能与意识改进。

 

解决之道:用对方法,选好工具

      基于以上的分析和理解,Robin给予了自己的方法论和两点建议。

 

5

(企业安全文化建设方法论)

在方法论的总结上,Robin认可持续运营的方式开展企业文化建设,强调“开展评测”、“组织教育”、“事实验证”、“技能提升”的闭环运营和整体企业安全文化、信息安全意识能力水平的提升与锻炼。

 

6

 

关于两点建议,Robin这样认为:

其一,在企业中定期开展类似安全周的活动,将安全教育工作融入企业安全文化的建设之中。

国家在每年9月第三周设立国家网络安全宣传周活动,安全法也要求定期开展全员的安全教育。根据我们6年组织安全周的经验,企业开展安全周可以分为五个阶段开展。

安全周活动,侧重于在企业整体安全文化建设的范畴之中。通过“游戏化知识传递”、“手册和衍生品的发放”、“安利互动参与体验”、“意识水平诊断报告”、“体现安全目标”的方式,形成线上传播、互动体验为特点的闭环良性发展。

 

7

(为本次活动准备了安全周需要的线上安全法素材包,有需要的朋友可以加小编微信领取)

其二,利用手机终端,利用员工的碎片化学习时间,快速开展覆盖全员的安全知识与合规测评。

知识赛,可以起到“以赛促学、以学促用”的积极作用。易念科技开发、运营的「享安全」平台,在2017年开展全民知识赛、行业知识赛,取得了不错的效果和成绩。

 

👇免费体验申请试用

微信图片_20171127095129

 

8

 

知识赛平台

由易念科技研发的“享安全平台,以SaaS服务方式,利用移动终端方式,面向企业提供专属安全意识教育与测评服务。

企业在申请使用平台后,可以提供自家的企业logo标识别等,为企业定制专属的线上知识赛竞赛平台。企业员工使用手机微信端登陆赛事平台,在线上开展学习和测试。赛事可以根据企业需求,对参赛者(队伍)进行排名和奖励,调动员工积极参与信息和网络安全教育。

当然哦,其中的内容学习素材库、测试竞赛题库都是「享安全」由行业和信息安全专家多年积累、不断更新的内容和题目,既贴合场景实际,学习内容和水平又质量过硬。

 

9

10

在「享安全」展台,与会者纷纷前来了解安全文化建设、「知识赛」免费申请试用

 

11

Robin和与会嘉宾交流心得体会

企业安全文化建设,看似遥远,其实我们做的每一步都在践行企业网络和信息安全发展之道。路漫漫兮其修远。

安全文化建设不仅任重道远、道阻且长,也是一个循序渐进的过程。用对方法、选好工作,可以将自己企业的安全文化工作、信息安全教育工作事倍功半。

 

12

最后借用一位非常尊敬的企业安全主管的话:信息安全现阶段不是“三分技术七分管理”,而是三分技术、三分管理、四分意识,归根到底还是人的认识问题,意识决定安全。

 

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号
沪公网安备 31010502002600号