吕韩飞，王 钧

(浙江警官职业学院信息技术与管理系，浙江杭州 310018)

据2010年最新统计资料显示，和欧美等发达国家相比，中国的大部分企业的信息化水平都处于相对落后的状态，在信息安全方面投入的财力物力，更可以说是天壤之别。尤其现在我们处在互联网经济和知识经济时代，随着越来越多中国企业的崛起，通过什么样的手段来保护好特别是管理好信息资产，是让绝大多数企业头疼的一个难题。值得特别注意的是，随着近几年来各类企业的Internet联网率逐步上升，各类安全事件也相应的迅速增长，层出不穷。可以说信息安全问题已经成为各类企业在信息化改造进程中一个亟待解决的难题。

和欧美发达国家相比，中国的大部分企业在信息资产管理方面积累的经验相对较少，有些企业即使进行了相应的资产管理，也不是根据策略或制度的规定在有意识的操作。在中国企业信息化改造和信息化应用中，经常漠视主动保护信息资产的行为。只有在面临严重威胁的情况下，如信息资产遭受严重破坏，已经造成严重的直接、间接经济和名誉等损失的情况下，才被动的开始重视这些问题，并采取有针对性的措施进行补救。总之，企业信息安全问题产生的一部分原因就源于不当的信息资产管理方式。

信息安全策略(Information Security Policy)从本质上来说是描述企业具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对企业中成员阐明如何使用企业中的信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对员工的安全意识与技能要求，列出被企业禁止的行为。通常安全策略由企业管理层批准、印制及向全体员工公布，并能让有关人员访问和理解，这是整个安全管理体系有效运作的根本保证。目前我国企业在面对信息安全问题时面临着很多的困难，主要表现为很多企业缺乏适合自身的信息安全策略，或者企业内部有信息安全策略但是执行不到位，实施效果不好。

1 影响信息安全策略实施效果的关键因素

参考国外信息安全策略实施的先进经验，通过对我国企业的实地调研，发现导致上述现状的原因有三：一是制定策略的人员过于单调，导致信息安全策略不适合本公司的原因；二是策略缺乏可读性和实用性的原因；三是策略执行过程中的原因。即，影响信息安全策略实施效果的关键因素为制定信息安全策略的人员、信息安全策略本身和信息安全策略实施的过程。

1.1 制定信息安全策略的人员

如何制定简单有效、权威的和容易推行的信息安全策略是一项难度很大的挑战，信息安全策略制定人员的选择对策略的实施效果有很大的影响。信息安全策略的制定者必须熟悉企业的历史文化、规划目标和发展方向，信息安全策略只有和中国企业的传统和文化融合才容易得到大家的认同，大家才会主动遵守这些策略。企业的信息安全策略还需要为企业量身订做，符合本行业的行规，符合本地区和中国的法律法规。而且信息安全策略的制定者不能只是在信息安全技术方面很精通，还要熟悉企业信息化的具体应用，掌握企业信息安全和技术解决方案的不足之处。

1.2 信息安全策略本身

1.2.1 信息安全策略的可读性

信息安全策略如果可读性好，执行的时候就容易达到预期效果。信息安全策略包含的内容越多，员工在理解和执行信息安全策略方面需要付出的努力就越多，如果信息安全策略包含模糊和不能理解的叙述，就会影响到日常信息安全目标的实现，也会给员工造成很大的困扰。

1.2.2 信息安全策略的实用性

大家经常听到管理者的一句口头禅就是“我们公司有信息安全策略”，但是事实上很多时候很多场合并没有用到这些策略，它们只是作为文档被收藏起来。一旦企业发生安全事故，很多员工甚至管理者还是惯性的采用过去的老经验老做法，而不是参考经过细致研究后精心制定出来的信息安全策略，即使在很多知名企业和某些政府部门，也常常可以看到这种状况的出现。另外，信息安全策略是给信息安全威胁量身订做的，在各种各样的信息系统中，存在各种各样的信息安全威胁，增加信息安全策略的针对性，能够极大提高信息安全策略的实用性。

1.3 信息安全策略的实施过程

1.3.1 高层管理者的推动

经验表明，高层管理者的大力支持对信息安全策略的推动作用很明显。如果高层管理者对信息安全实施都不是特别重视的话，下面各部门往往不会特别积极的响应，在实际执行过程中难免会打折扣，很难得到好的实施效果。因为实施信息安全策略肯定会增加各部门以及员工的工作量，很多人难免会有抵触情绪。

1.3.2 培训推广与沟通机制

信息安全策略制定后，为了顺利的实施，需要对全体员工进行推广，根据企业的实际需要必须对员工进行培训与沟通。因为不同部门的员工水平参差不齐，必须通过培训推广让他们明白信息安全策略是什么，有什么好处，如何执行，这样信息安全策略才能顺利地实施下去，否则只是纸面上的制度。

1.3.3 监督和奖惩机制

没有规矩，不成方圆。信息安全策略建立后，如果缺乏监督和奖惩机制，干多干少一个样，干好干坏一个样，无法调动员工的积极性，那么整个信息安全策略肯定不会得到很好的实施。在实施过程中必须进行监督，检验具体的实施效果。对执行得好的部门以及个人进行奖励，执行的不好的部门和个人进行惩罚。

2 解决信息安全策略实施难的对策

前面分析了影响信息安全策略实施效果的三个关键因素，信息安全实施难的原因就是这些因素导致的，针对这些因素给出相应的对策如下：

2.1 选择制定信息安全策略的合适人选

对于小型企业，技术负责人可以担当信息安全策略的制定者，对于大型企业，最好成立一个特别工作组来充当信息安全策略的制定者。这个特别工作组由多方人员组成，主要负责的任务是持续的策略实施、评估和修订。管理层还需要任命一位高层人士来指导和协调特别工作组的工作，表示对信息安全策略的重视。

信息安全策略属于管理策略的一种，因此各级管理层必须参与到这项工作中来，而安全人员和技术人员也不可或缺，他们能提供良好的技术支持。而且信息安全策略对企业的业务发展有很大的影响，所以业务人员也要派代表参加，这样的工作组就能够听取各方意见，保证实行信息安全控制措施的代价和实施效果比较合理。如果企业属于上市企业，应该召开股东大会，对所编写的信息安全策略和规程进行表决，董事会和股东代表表决同意以后，还需要进行公示征求员工代表和律师的合理建议，保证最后的信息安全策略符合法律法规。员工代表和股东代表参与到制定工作能够加强信息安全策略的推广力度，增加可信性，而且人多力量大，容易发现一些容易被忽略的细节问题。让企业的最高管理层认同了信息安全策略并从上向下推行，更容易影响整个企业人员的行为。在整个信息安全策略制定的漫长过程中，需要尊重并收集好高层管理者、部门经理和普通工作人员的意见,只有这样才能在实施信息安全策略的时候得到好的实施效果。

2.2 制定一个合适的信息安全策略

信息安全策略本身的原因主要包括：可读性、实用性。所以制定一个合适的信息安全策略需要在这两方面做针对性的改进。

(1)提高信息安全策略的可读性。首先加强资料收集和调研阶段的工作，这非常重要，很多时候因为工作量和实施难度的原因，这些工作被简化操作了。资料收集不全，调研不够充分会导致新制定的信息安全策略无法与企业的真正安全需求保持一致，也无法确保策略中的要求与管理目标相一致，可读性肯定不好。其次加强信息安全策略的评审工作。信息安全策略的制定过程有很高的政策性和个性，通常由各级管理层，员工代表，安全人员和技术人员等组成一个评审小组，在制定信息安全策略的过程中进行几轮评审，反复的评审过程能够让策略更加清晰、简洁，可读性更好，所以在评审的过程中需要调动大家的参与积极性，尽量减弱抵触情绪。

(2)提高信息安全策略的实用性。首先要弄清楚企业内部信息系统体系结构。信息安全策略应当与已有的信息系统结构相一致，并对其完全支持，而不是另起炉灶。这一点是针对信息系统体系结构，而不是针对信息安全体系结构。信息安全策略一般在信息系统体系结构确立以后来制定，以保障信息安全体系顺利的实施、运行。比如，互联网访问控制策略可使信息系统安全体系结构具体化，也有利于选择和实施恰当的防病毒软件和防火墙产品。其次应当参考一份最近的信息审计或风险评估报告，以便深入了解企业当前的信息安全需求。如果有对曾出现的安全事件的总结报告，也是一份很有参考价值的资料。根据这些资料召开相关人员会议，比如首席信息官、物理安全主管、信息安全主管、内部审计主管和人力资源主管等，制定出来的信息安全策略实用性会很高。

2.3 有效地实施信息安全策略

(1)获得高层管理者的大力支持。高层管理者的影响力比较大，而且范围广，尤其中国企业的现状是领导重视了，下面会更加重视。因为信息安全策略的实施会对部门和员工带来额外的工作量，而且有时候不能看到直接的好处，有些人会有一些消极情绪。获得高层管理者的大力支持，信息安全策略实施起来阻力会比较小。我国著名的华为公司，刚开始信息安全策略实施也不顺利，很多研发部门的员工认为额外工作量大，抵触情绪很大。后来出了“沪科”源代码被盗案以后，以总裁任正非为首的高层领导者非常重视信息安全策略的制定以及实施，在他们的大力支持下，华为公司后来的信息安全策略实施顺利了很多，信息安全管理水平也上了一个台阶。

(2)加强推广和培训。信息安全策略制定后，不能全公司推广，让全体员工来实施的话没有任何意义。

首先推广过程中要指定好信息安全策略实施的负责人。按部门或实际情况指定负责人，落实责任。确保在在信息安全策略实施过程中，员工遇到问题知道应该联系谁来解决。

其次做好培训工作。新策略应发布在企业内部网站上，加入相关链接让用户能很快找到感兴趣的材料。培训课程应该通过录像或培训软件存档，方便大家学习。针对不同策略对象可能需要制作不同的培训课程。培训可以分为正规培训与非正规培训两种方式。

正规培训的方式可以是会议或讲座的形式。正规培训的一个好处是使员工更加重视提高信息安全意识，因为他们知道这样的表述需要花费大量资源、人力和金钱。同时强调了这样一个事实：公司非常重视信息安全而且采用了严肃的方式教育员工来保护信息资产；而对他们的要求仅是一点时间和精力。正规培训的另一个显著的优点是培训的信息、指导和陈述被广泛传播，因此，每次可通过这个方式培训到很多人，与一对一的方式相比将节省很多时间。

非正规的培训方式可以是通过邮件提醒、讨论、张贴、屏幕保护程序、鼠标垫、杯子、胶贴物等多种形式发布安全方面的消息。这种方式的好处是不像正规培训方式需要强迫人们接受。这种方式是非常人性化的，用户友好的而且高效的，因为与他们的日常生活及公司中的工作流程息息相关。也可以是员工问问题、信息安全代表作答的讨论会，这种非正式的讨论是另一种教育和衡量员工技术的高效方式，气氛通常更加平静。这是受推荐的与员工沟通的方式，因为它发起双向会话覆盖许多要点。

培训之后还应该调查员工是否理解安全策略文档中的重点，通过考试确定是否要增加培训。

(3)加强监督，奖惩分明。当适合企业当前状况的信息安全策略制定好之后，应当编辑一个反映部门以及员工该如何遵守信息安全策略的法律协议表，或直接体现在员工劳动和保密合同中。在新的策略实施时，制定自我评估调查表，填写实施情况，就能明确哪些部门和员工没有遵守好、哪些地方需要额外加强控制。信息安全策略执行得好进行奖励，执行得差进行惩罚。

受文化环境等综合因素的影响，国内很多企业的员工甚至有些企业的管理者信息安全意识薄弱，例如，在实施企业信息化建设的过程中，经常有某些企业员工私自安装公司规章制度里面不允许使用的非法或盗版软件、卸载掉统一安装在电脑上的杀毒软件客户端等事件，最后导致被其他公司起诉侵权，或者木马和病毒泛滥等严重后果。一些最常见的理由比如：我需要这个软件来辅助更快完成工作、防病毒软件太占CPU资源，我需要机器的速度快一些等等，但其实发生这些事情的最重要因素，是缺乏监督和奖惩机制或者有机制执行不力。如果有监督与奖惩机制并认真执行的话，这些问题会很早被发现而制止掉，违反策略的员工会被罚款，造成严重后果的降职甚至开除。这样大家就不敢漠视公司的信息安全策略，可以保护公司的信息资产。

3 结论

针对我国企业信息安全策略实施困难的现状，经过调研分析，找出影响信息安全策略实施效果的三个关键因素：制定信息安全策略的人，信息安全策略本身，信息安全策略的实施过程。并给出针对性的改进建议，帮助企业更好的解决信息安全策略实施困难的问题。

[1]BARMAN S.编写信息安全策略[M].段海新,刘 彤,译.北京:人民大学出版社,2002.

[2]DANCHEV D.Building and Implementing a Successful Information Security Policy[DB/OL].[2003-06-25]http://www.windowsecurity.com/pages/security-policy.pdf

[3]常建轩.企业信息安全策略成功实施的影响因素研究[D].杭州:浙江大学,2007.