深入探讨企业员工信息安全意识.docVIP

深入探讨企业员工信息安全意识 　　摘 要 本文通过对信息安全意识的重要性、企业员工信息安全意识现状、国网公司范围内信息安全案例的分析，提出企业内部四个层面人员应具备的信息安全意识以及提升信息安全意识的方法与措施。 　　关键词 信息；安全；意识 　　中图分类号：TP309 文献标识码：A 文章编号：1671―7597（2013）021-132-02 　　1 信息安全意识的重要性 　　信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源，也是企业财产和个人隐私等的重要载体。与此同时，信息安全的重要性也越加凸显：从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、企业还是国家，保持关键的信息资产的安全性都是非常重要的。 　　据统计，世界上每分钟就有2个企业因为信息安全问题倒闭，而在所有的信息安全事故中，只有20%-30%是因为黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄露造成的；同时78%的企业数据泄露是来自内部员工的不规范操作。 　　因此企业员工信息安全意识的提升对企业整体信息安全起着至关重要的作用。 　　2 企业员工信息安全意识现状 　　根据《2011年度中国企业员工信息安全意识现状调研报告》中，企业员工在信息安全意识方面存在的20大问题如下： 　　1）有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。 　　2）拥有胸卡的受访者中，接近半数的人曾经外借过胸卡。与2010年的调查数据相比，经常外借胸卡的比例有所上升。 　　3）在去陌生环境出差时，51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图，48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升，但情况依然不算乐观。 　　4）36.6%的受访者会在办公桌面放密级资料。 　　5）52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收，可以让人任意看。 　　6）37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。 　　7）选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。 　　8）仅有30%受访者对敏感数据会进行分类和加密。 　　9）65%的受访者电脑中数据不做备份或者不定期做备份。 　　10）接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。 　　11）接近50%的受访者选择不安全的设置电脑屏保、密码方式。 　　12）有33%的受访者会在电脑桌面存放密级资料。 　　13）39.2%的受访者暂时离开电脑不会锁屏。 　　14）当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时，59.2%的人会看动画、下载动画、浏览网页或点击网页链接。 　　15）1%的受访者会点击网页上吸引自己的链接。 　　16）4%的受访者遇到过恶意插件、病毒攻击，还有19.2%的受访者不确定自己是否遇到过。 　　17） 64.2%的受访者不知道公司的信息安全策略的相关规定。 　　18）52.7%的受访者遇到信息安全事件，不知道如何处理、自己处理或者找同事帮忙处理。 　　19）46.7%的受访者不知道自己接触信息的密级程度。 　　20）49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。 　　3 信息安全案例分析 　　3.1 案例一 　　中国电力财务有限公司商业秘密泄露事件。（来源于：《国网公司信息安全通报》（2010年第1期）） 　　事件经过：2009年12月初，国家电监会通报中国电力财务有限公司某员工使用的计算机中涉及公司商业秘密文件资料泄露。经查，该员工将20余份资料（其中包括公司商业秘密文件）存入非公司转配的个人移动存储介质并带回家中，利用连接互联网的计算机对该移动存储介质操作，由于其家中计算机存在空口令且未安装安全补丁，感染了特洛伊木马病毒，使存于移动存储介质的文件信息泄密。 　　暴露的问题：该事件暴露出虽然公司三令五申，严格“涉密不上网、上网不涉密”的纪律，但是部分员工缺乏保护商业秘密与工作资料的意识，违反公司“严禁在连接互联网的计算机和移动存储介质上处理、存储涉及企业秘密信息”的要求，利用非公司转配的个人移动存储介质保存商业秘密信息，并违规接入互联网，而直接造成信息外泄事件。 　　3.2 案例二 　　上海世博会供电敏感信息泄露事件。（来源于：《国网公司信息安全通报（2010年第2期）》） 　　事件经过：2010年春节前夕，国网公司接国家安全部所属中国信息安全测评中心通报，发现涉及上海世博会的世博园区供电方案、保障