近些年来,一方面,随着国外信息安全事件频发,企业及个人信息泄露严重。另一方面,国家对于信息安全的重视程度及监管力度也逐步提升。越来越多而企业都意识到解决企业信息安全问题迫在眉睫,有些企业通过加大信息安全的投资力度,部署最新安全产品保障系统安全;有些企业通过精心安全技能培训,使员工掌握更多的信息安全知识和技能;有些企业大力加强企业信息安全体系的建设提高企业的安全意识不足,就容易给企业带来无法衡量的损失。因此提高员工的信息安全意识工作显得更为刻不容缓。
企业信息安全方案和注意事项,其中有两点是中小型企业在安全意识培训进程中需要特别注意的。
第一点,对全公司都要教授一致的安全信息,中小型企业太小而不足以实行具有不同倾向的多种培训计划。并且,这项计划要由信息技术部门负责管理。
第二点,要谨记你的大部分电脑使用者并不是专门人员,培训应该简单且接近日常用户。
无论你的侧重点是什么,以下这些在每个计划中都是绝对必要的。
1.用户名和密码的处理
员工应该学会安全操作用户名和密码。比如,如何选取安全系数高的密码,不要将密码写在纸上或写在粘贴于显示器的便签上,更不要告诉任何人包括技术支援中心
2.网络和邮件的使用
员工应该学会提防电子邮件的附件,特别是来自未知发件人的邮件。告诉他们这些附件可能包含病毒、特洛伊木马和其他恶意程序等会损害公司的东西。员工还需要知道公司对合理使用互联网和安全浏览的政策,在办公室的网络接入应该只能于业务用途。色情和赌博网站都会含有恶意程序。这些要在协商中解释以使员工们理解。
3.移动设备和便携式电脑安全
教导那些以便携式电脑为生经常出差的人如何防止在旅行中电脑被盗,要他们在机场等公共场所登陆时要当心别人偷窥到用户名和密码。员工也要知道在办公室中USB接口和无线接入点能造成的威胁。应该教他们这些移动设备不能在工作中使用。
4.社会工程学
负责涉外的员工有可能被一些精于记诵的人欺骗,他们会用花言巧语诱骗这些员工透露公司的信息或者能够接入重要系统和资料数据的用户名和密码。教这些员工基本的职业诀窍以防止他们被骗。
5.应对突发事件
如果一个员工感到有些东西可疑或认为出现了漏洞,教给他们应对这些突发事件的程序。让他们知道该去找谁和怎么找。
6.内部培训、外部培训或网络培训
传统上,有三种途径策划安全意识培训:在公司内部寻找培训人员和培训部门,聘请外部培训公司或者依托网络、电脑进行培训。
如此,能满足中小型企业想要提高员工信息安全意识到正常标准的途径是什么呢?有在传统三个方法的基础上加以少许改动的两条途径。中小型企业可以仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。
另外,中小型企业还可以创造性的在办公室张贴些成本低的彩色安全意识海报对员工潜移默化。
7.采用技术手段对网络及重要信息进行管理审计
以上6点注意事项虽然能对部分信息安全做到保障,但在各类信息安全频发的今天,很难保证能够规避所以安全风险。所以企业也应该采取技术手段,来达到保障信息安全的目的,例如一般企业可以通过上网行为管理,和第二代防火墙来限制员工的上网行为,同时对外部攻击做出防护。而研发类或者对服务器安全要求企业,则可采用堡垒机、数据库等产品,以确保技术的外泄、员工的误操作,或者信息的泄露等。