近年来,信息安全事件“层出不穷”、商业泄密案“触目惊心”、个人信息“垂手可得”、网络犯罪“蒸蒸日上”,让人觉得信息安全面临的威胁无处不在。
那么,这一切都是因为“黑客”吗?
No!世界头号黑客Kevin Mitnick曾经说过一句话:“人是最薄弱的环节”。
例如,“将口令写在便签上,贴在电脑监视器旁;开着电脑离开,不锁屏,就像离开家却忘记关门那样;轻易相信来自陌生人的邮件,好奇打开邮件附件;使用容易猜测的弱口令,或者压根就不设口令;随意放置或丢弃数据U盘;敏感资料传输不加密;会后不擦黑板,会议资料随意放置在会场”等等。只关注外来的威胁,忽视企业内部最关键的人的问题。
如何改进这种现状呢?
最有效的方式是:提高员工的信息安全意识。让员工人人认识到肩扛着信息安全的责任,深刻体会到“信息安全,人人有责”。
那么,如何做才能提高银行员工的信息安全意识?
一、高度重视信息安全、加强教育。信息安全与其他安全问题一样也是三分技术、七分管理,各级管理人员首先思想上要高度重视,IT部门虽负有保障信息安全的重要职责,但仅仅将信息安全责任全部依赖IT部门是远远不够的,应将信息安全纳入各级机构的日常安全教育宣传内容,推动实现“要我安全”到“我要安全”的转化。
二、要让所有员工清楚自身在信息安全方面的责任。要与所有员工签订信息安全保密协议;明确自身在信息安全上需要如何做?职责是什么?后果会怎样?
三、要做好新行员的培训。将信息安全教育作为新行员入行教育的重要内容,从入行开始就养成良好的安全习惯。
四、建立信息安全规章制度、并加以严格执行。严格落实“涉密不上网、上网不涉密”基本原则,对敏感信息泄露行为严肃查处。
五、定期开展信息安全知识培训。要让大家知道信息安全可能会带来怎样的恶果,通过举例子、讲事实,让大家明白信息安全意识高能带来的莫大的好处。员工信息安全意识的培训要寓教于乐,让员工“看得懂、喜欢看、记得牢”。
六、信息安全宣传多样化。通过丰富多彩的信息安全意识动画、手册、短片、短信等。把枯燥的知识有趣化、把无聊的说教幽默化、在“津津有味”中学知识,让员工在潜移默化中提升信息安全意识水平。
七、信息安全意识教育要持之以恒。提升银行员工信息安全意识是一个全方位、立体化、持之以恒的工作,不是一朝一夕、三分钟热度就可以做好的,甚至可以考虑将员工信息安全意识纳入到企业文化中,形成提高员工信息安全意识的长效机制。
