隨着電力企業的發展,資訊安全管理規範需要進行不斷優化改進,下面是小編蒐集整理的一篇探究電力企業資訊安全文化建設的論文範文,歡迎閱讀借鑑。
摘要:提出了電力企業資訊安全文化的構建,從提高員工資訊安全意識和建立資訊安全管理規範兩方面入手,提高員工資訊安全意識,可以形成統一的資訊安全理念和"資訊安全、人人有責"的資訊安全文化氛圍;建立資訊安全管理規範,讓資訊安全文化有章可循,有據可依。透過企業資訊安全文化的構建,提高企業資訊安全防護能力。
關鍵詞:企業資訊安全;企業文化;管理規範
1、現狀分析
企業在資訊安全建設時,爲了資訊安全的最大化保障,花費了大量的財力,購置基礎防護設施,不管是資訊安全硬件還是軟件,但是資訊安全問題還是頻發。溯其根源,大部分是因爲企業內部員工資訊安全意識過於薄弱。據統計,在發生資訊安全事件時,只有20%~30%是因爲外部人員破壞或其他外部原因造成,另外70%~80%是由於內部員工的疏忽或有意泄漏造成的[3]。根據GooAnn發佈的《2012年度中國企業員工資訊安全意識調查報告》結果顯示,在所有受訪者中,只有9.4%有良好的資訊安全意識。因此,如何提高員工資訊安全意識,不僅對企業的發展有利,也對員工自身有所幫助。員工有了好的資訊安全意識,還需要管理制度作爲企業文化的準則。以國網江西省電力公司爲例,根據國網公司的統一要求,首先,使用通用制度作爲公司統一的管理制度,國網省公司只能編制相應的補充管理規範。管理規範如何能夠體現員工自身的意願,除了內容要符合公司實際情況以外,更爲重要的是需要一個好的管理規範修訂辦法,不斷改進提升管理規範,滿足公司資訊安全的發展需求。
2、電力企業資訊安全文化建設
提高員工資訊安全意識的主要手段包括培訓、宣貫和考覈等,但是填鴨式的培訓和宣貫往往收效甚微,甚至可能適得其反,爲提升員工資訊安全意識,讓員工自身投入到資訊安全中,感受資訊安全企業文化。本文以國網江西省電力公司爲例,主要從以下三個方面開展。
2.1提高員工資訊安全意識
資訊安全培訓有時候往往理論和實踐是分離的,未能做到理論和實踐有效相結合。爲了進一步提高資訊安全意識培訓的效果,本文提出使用“理論-實踐-理論”的培訓模式。該培訓模式的思想爲:從理論中來,到實踐中去,又回到理論本身,形成一個抽象到具體,又從具體中抽象的過程。“理論-實踐-理論”培訓模式步驟介紹:理論代表管理規範的抽象要求,實踐代表管理規範的具體實施細則。首先,透過對管理規範的學習,瞭解公司總體的'資訊安全要求,透過學習與自身工作崗位相關的管理規範,對崗位資訊安全要求有所瞭解。其次,在已有的資訊安全知識基礎上,培訓學習公司目前部署的所有資訊安全技術手段,並熟練使用這些技術手段,透過技術手段對員工行爲的約束,更爲深刻地瞭解管理規範的具體條款。最後,回到管理規範條款的仔細學習,透過結合管理規範和技術手段,加深自己對資訊管理規範的理解。雖然有了合理的培訓模式,但是資訊安全意識的提高還是不能一蹴而就,需要循序漸進,不斷加深員工對資訊安全的認識和了解,加強企業資訊安全氛圍,使資訊安全成爲國網公司企業文化的組成部分。國網江西信通公司,作爲資訊安全的責任和專業單位,對企業資訊安全工作的開展起着重要作用,爲更好地提高員工資訊安全意識,依託信通公司的專業知識,主要從以下三個方面資訊安全企業文化構建工作。
2.1.1開展多渠道的資訊安全知識宣貫
資訊安全知識需要隨時隨地的學習和熟悉,只有透過多渠道的宣貫,才能讓企業員工時時刻刻都能接觸到資訊安全知識,並得到學習和警示。發揮國網江西信通公司的專業優勢,採用淺顯易懂的文字和圖片相結合的方式,編制資訊安全知識手冊,發放給每個員工學習,碰到不清楚的地方,隨手可查。其次,透過國網江西信通公司負責運維的內網門戶網站,設立資訊安全知識宣貫專欄或飄窗,利用定期更新的方式,讓員工每天可以接觸到資訊安全知識,加深瞭解。另外,利用員工每天高頻率使用的個人辦公電腦作爲宣傳媒介,開展宣貫工作,比如:設立辦公電腦資訊安全知識桌面壁紙、屏保動畫及鼠標墊等等。透過以上多渠道的宣貫,讓資訊安全知識隨時隨地可以學習,讓員工感受到資訊安全企業文化觸手可得,閒暇可學。
2.1.2定期組織資訊安全知識講座討論
資訊安全知識不斷推陳出新,所以需要定期開展資訊安全知識的講座,讓員工獲得最新的資訊安全知識。國網江西信通公司現有多名國網領軍及專家人才,還有兼職培訓師,都是資訊安全方面的能手,利用他們專業的技能,開展資訊安全知識講座討論,讓員工感受到資訊安全知識的重要性。另外,爲了進一步加深員工對資訊安全知識的瞭解,可以邀請國網公司相關專家,開展資訊安全案例的講座,透過對發生在自己身邊的資訊安全案例進行學習,更能認識到資訊安全不是紙上談兵。透過資訊安全知識講座討論,感受到資訊安全企業文化重在實踐,近在身邊。
2.1.3開展資訊安全知識趣味競賽
除了宣貫和講座以外,瞭解資訊安全知識的另一個好的途徑就是考覈,但是考覈只會讓員工死記硬背,不能真正瞭解資訊安全知識的實質內容,所以,可以透過理論知識和實踐知識競賽的方式,讓員工主動學習資訊安全知識,也能學習如何把理論和實踐相結合。透過開展資訊安全知識趣味競賽,並加以物質或精神獎勵的方式,可以鼓勵員工積極主動地學習資訊安全知識,同時可以讓員工有參與感,形成人人蔘與,人人有責的資訊安全企業文化氛圍。
2.2資訊安全管理規範的修訂
隨着電力企業的發展,資訊安全管理規範需要進行不斷優化改進,並及時修訂發佈,以適應新的資訊安全管理要求。在對管理規範進行修訂時,通常根據二個方面開展:第一、國網公司的通用制度修編,國網公司統一發布新的通用制度,國網省公司進行新制度的學習和遵循;第二、國網省公司根據實際情況進行管理規範的調整。其中,第一方面由國網公司統一組織,國網省公司主要開展第二方面的修訂,根據員工對資訊安全認知的提高和實際工作問題的反饋,進行管理規範的修訂,然而,員工對問題的描述往往較爲模糊,並不像資訊安全管理人員或運維人員描述的準確,所以會導致管理規範修訂存在不精確的問題。爲了改進這樣的修訂機制,本文選擇由資訊安全管理技術出發,技術手段是對管理規範的具體化,也是對管理辦法內容的可操作化。所以,本文提出了從技術手段入手,逆向來提煉管理規範修訂需求,管理規範修訂流程圖透過員工使用企業的資訊安全管理設備和資訊安全管理系統,向專業資訊安全運維人員反饋在使用中存在的問題,然後由資訊安全運維人員和管理人員進行提煉彙總,形成管理規範修訂的新需求,從而更爲準確地修訂資訊安全管理規範。
參考文獻:
[1]國家電網公司.國家電網公司企業文化手冊[M].中國電力出版.2007.
[2]李雪,白潔,胡曉荷.品文化之悟成功之道-資訊安全企業文化面面觀[J].資訊安全與通信保密,2008(5).
[3]李旭,孫碩.淺析企業文化建設與員工資訊安全意識[J].現代營銷,2012(11).