自2001年起,以美国为首的海外先进国家,就表达出对信息产业迅速发展的忧虑,并通过一系列的调查表明信息安全对于企业至关重要。而在信息安全技术提高的同时,因组织内部的信息安全风险并不会随着技术的提高而得到改善,所以研究的重点从信息安全技术转移到组织内的人为因素。美国国家互联网应急中心、国家计算机网络应急技术处理协调中心调查结果表明,信息安全事件来自组织内部威胁的比例一直在44%-52%区间波动[2]。这充分证明出在人为因素对信息安全的影响愈加重要,国外学者也对此不断的进行分析研究,进而涌现出不少成果,主要有以下几个方面:86309
国外研究成果
在信息安全技术不足的条件下,企业高管对于非技术层面的管理显得尤其重要(加强监督、减少模糊管理、制度的建立、定期评估),人员在信息安全领域的培养同样不能轻视(改变信息安全人员待遇、教育新员工等等)。信息安全不只是信息安全人员的职责,更是企业全体人员都应负起的责任。
目前在我国,由于信息产业较国外起步较晚,却崛起的异常迅速,所以在信息化发展的同时,相对应的保障措施和一些细节部分就不能与如今的发展速度相匹配。尤其是在信息安全这一部分,一方面,针对外部信息安全威胁许多企业大多采用国外的安全软件等,另一方面,在大部分的中小企业并没有建立起系统的信息安全意识。由此我国企业的信息安全问题暴露出各种不足:
1)制度的缺失。在一些中大型企业中,一般都建立了信息安全部门,或安全监管部门,并有一套信息安全制度,但这制度只是针对于特定的部门,而没有相对应的在整个企业制订一套完整的信息安全制度或者不同的部门拥有不同的安全信息制度,因此企业在信息安全这一方面有相当大的威胁。
2)重视不足。在如今企业的内部战略计划中,信息安全问题一般都会被放在最后面考虑,一方面是因为信息安全会占用相当一部分资源却不能在短时间内看出成效,另一方面是因为企业管理人员对信息安全的重视不够,没有足够的重视,也就没有足够的资金和人员投入,这样就会导致企业的信息安全难以在迅速发展的信息化时代中完好的保全自己,难以在越来越高级的外部攻击和组织内部管理方面建立起有效的保护措施。
3)人才的流失。我国的信息安全人才资源比重本来就相对较少,而在企业信息化的过程中,又没有给予足够的重视和培养平台,使得人才资源逐渐流失,这也会进一步的导致信息安全技术创新的缺乏,相对比与国外先进的安全软件来讲,在这样一方面会受制于人[3]。