安全業(yè)內(nèi)廣泛流傳著“三分技術(shù)、七分管理”的說法，說明制度的建立和落地是何其的重要，據(jù)悉，超過70%的信息安全威脅來自企業(yè)內(nèi)部，其核心數(shù)據(jù)的流失居然有80%源于內(nèi)部人員的違規(guī)操作或管理疏忽，這樣看來我們必須要討論一下安全制度的落地問題了。

一、安全制度落地何其重要

信息安全是任何國家、政府、部門、行業(yè)都十分重視的戰(zhàn)略問題，談到信息安全風(fēng)險的應(yīng)對之道，多數(shù)流行的安全理論和標(biāo)準(zhǔn)都從制度管理和技術(shù)防范兩個方面來研究解決，二者相輔相成，通常認(rèn)為制度管理在實際安全工程中的地位相對較高，是信息安全管理的基礎(chǔ)，建立健全各項信息安全制度是進(jìn)行安全管理的***步，正如業(yè)內(nèi)廣泛流傳的“三分技術(shù)、七分管理”，集中反映的也是這個道理。保障企業(yè)信息安全，無論技術(shù)防范如何健全，歸根到底還是要依托管理制度的完善，并最終落實到人的執(zhí)行效果上。

根據(jù)一份針對網(wǎng)絡(luò)安全的專項調(diào)查結(jié)果顯示，目前，超過70%的信息安全威脅來自企業(yè)內(nèi)部，其核心數(shù)據(jù)的流失實際上有80%左右源于內(nèi)部人員的違規(guī)操作或疏于管理，而只有約20%來自外部的侵犯。前不久，引起世人廣泛關(guān)注的美國大兵布拉德利•曼寧通過“維基揭秘”網(wǎng)站公開美國數(shù)十萬份機(jī)密文件的事件，就是一個極為典型的案例，作為情報分析員，曼寧能夠一連8個月，一周7天，每天14個小時地閱讀機(jī)密情報，但他同時也可以將這些機(jī)密數(shù)據(jù)下載并復(fù)制給了“維基揭秘”的創(chuàng)始人阿桑奇，并由此引發(fā)軒然大波。不難判斷，曼寧所在的部門一定會有相關(guān)的管理制度，但如果不能完善并落到實處，所導(dǎo)致的結(jié)果將會觸目驚心。無獨(dú)有偶，在愈演愈烈的“棱鏡門”事件中，作為美國國家安全局設(shè)在夏威夷的威脅行動中心系統(tǒng)管理員，斯諾登也可以堂而皇之地將高密級信息順利帶出美國，沒有人否認(rèn)美國信息安全技術(shù)的先進(jìn)性，但與其蹩腳的管理相比，一切只能是“水中月、鏡中花”而已。因此，在信息安全管理工作中，完善和落實信息安全管理制度與技術(shù)防御相比，發(fā)揮著更為關(guān)鍵的作用!

二、如何建立行之有效的安全管理體系

目前企業(yè)內(nèi)部一般都有許多針對網(wǎng)絡(luò)、系統(tǒng)、信息方面的安全管理制度，但是這些制度通常都是為某方面的安全問題制定的，沒有建立起一個系統(tǒng)的、分級分層的、能夠?qū)W(wǎng)絡(luò)信息安全的各個主要方面都能有效約束的制度體系。而缺乏體系性的安全制度，對于大型企業(yè)來說，往往會在不同部門、不同系統(tǒng)、不同人員之間產(chǎn)生一些管理誤區(qū)和盲區(qū)，導(dǎo)致其權(quán)威性和嚴(yán)肅性大打折扣。

一個好的信息安全的制度體系，首先要制定目前缺乏的各級管理制度，同時完善已經(jīng)制定的各級管理制度，使其自上而下對各級部門和具體應(yīng)用系統(tǒng)都具有相應(yīng)約束力。一般來講，建立安全制度體系需要遵循一定的原則，并根據(jù)制度的級別不同由相應(yīng)的部門制定和監(jiān)督執(zhí)行。企業(yè)級的信息安全制度應(yīng)由企業(yè)網(wǎng)絡(luò)信息安全管理部門(信息中心)來制定;部門級的安全制度由各部門在企業(yè)安全制度的基礎(chǔ)上根據(jù)自身特點(diǎn)來制定;系統(tǒng)級的安全制度則要根據(jù)具體應(yīng)用系統(tǒng)的技術(shù)、管理和使用要求，同時在遵循前述兩級安全制度的前提下，由系統(tǒng)管理機(jī)構(gòu)來制定和執(zhí)行。

一個好的信息安全管理體系，還要具備較強(qiáng)的可操作性。目前很多信息安全制度更多的使用了綜合性的禁止性條款，如“任何部門或者個人，不得利用計算機(jī)信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動。不得危害計算機(jī)信息系統(tǒng)的安全。”等等，而沒有具體的許可性條款和詳細(xì)的禁止性條款。這種大一統(tǒng)方式往往停留于口號和原則層次上，難以適應(yīng)信息網(wǎng)絡(luò)技術(shù)發(fā)展和越來越多的企業(yè)信息網(wǎng)絡(luò)安全的具體問題，在實踐中給落實工作造成了很大的困難。因此，企業(yè)在制定信息安全管理制度過程中，要考慮到一些實際的突發(fā)情境和需重點(diǎn)防范的內(nèi)容，圍繞這些情況，制定詳細(xì)的應(yīng)對措施、操作規(guī)程和管理步驟，使被管理者在現(xiàn)實工作中能夠方便地遵照執(zhí)行，并可以根據(jù)技術(shù)的發(fā)展和情況的變化，對管理制度及時做出適當(dāng)?shù)恼{(diào)整與修訂。

一個好的信息安全管理體系，還要能與技術(shù)系統(tǒng)相互融合、相互促進(jìn)，并兼顧以人為本的原則。企業(yè)的一切管理活動都應(yīng)以制度為基礎(chǔ)，技術(shù)系統(tǒng)的運(yùn)轉(zhuǎn)與維護(hù)應(yīng)該服務(wù)于管理的需要，管理制度的制定與完善也應(yīng)考慮到技術(shù)系統(tǒng)運(yùn)作的機(jī)械性、嚴(yán)格性特點(diǎn)，不能將模糊的、易變的管理制度用于技術(shù)系統(tǒng)運(yùn)作的管理之中，同時還要設(shè)法不斷提高相關(guān)管理人員、技術(shù)人員、使用和操作人員的技術(shù)素養(yǎng)和道德水平，使得信息安全的管理更加專業(yè)化和人性化。#p#

三、安全制度落地三法

根據(jù)筆者的經(jīng)驗，做好制度落地工作應(yīng)主要從以下三個方面，入手：

一是要把制度落實作為“一把手工程”來抓。由于企業(yè)主官對于信息安全工作重視程度不足，忽視了制度落實工作，進(jìn)而導(dǎo)致企業(yè)核心競爭力的損失往往是無法彌補(bǔ)的。具有戰(zhàn)略眼光的企業(yè)領(lǐng)導(dǎo)人一定會把信息安全當(dāng)做戰(zhàn)略問題來抓，解決問題的關(guān)鍵就是安全制度的有效落實!有了企業(yè)“一把手”的重視和支持，“上行下效”，可以將這種執(zhí)行力有效地投射到企業(yè)各個部門，在每個人的意識上也會真正重視起來;同時，還可以有效調(diào)動信息安全管理部門的積極性和主動性，通過技術(shù)設(shè)備和安全策略等多種手段預(yù)防、控制和追查失泄密行為。

二是要加大執(zhí)行制度落實重要性的宣傳教育力度。安全制度的落實力度不夠，主要體現(xiàn)在企業(yè)人員認(rèn)識不到位、防范意識不強(qiáng)，這種思想上的麻痹和松懈讓管理制度成為一紙空文，加大了信息安全隱患。因此，企業(yè)內(nèi)部要合理利用多種時機(jī)，采用多種形式，加強(qiáng)信息安全宣傳教育，特別是要注重將信息安全理念融入企業(yè)文化，使員工的企業(yè)忠誠度和以信息安全意識、知識、能力和道德為內(nèi)涵的信息安全素養(yǎng)得到同步提升;努力加深員工與企業(yè)的感情，弱化利益誘惑的動機(jī);樹立員工良好的信息安全意識，時刻牢記信息是決定企業(yè)核心競爭力的關(guān)鍵要素，信息安全關(guān)乎到企業(yè)的生死存亡和每個人的切身利益;加強(qiáng)員工信息安全責(zé)任心，時刻警惕身邊的信息安全隱患，隨時完善制度上的缺陷。

三是加大對制度執(zhí)行情況的督查和獎懲力度。在企業(yè)內(nèi)部建立針對信息安全制度執(zhí)行情況進(jìn)行監(jiān)督檢查的長效機(jī)制，及時發(fā)現(xiàn)制度執(zhí)行過程中存在的問題與風(fēng)險隱患，盡快組織整改落實，確保信息安全工作切實有效;同時，要把企業(yè)各部門信息安全管理制度執(zhí)行情況與部門考核、個人考核掛鉤，實行一票否決制，對于因失職、安全意識淡薄、甚至故意泄露企業(yè)秘密的行為要依據(jù)法律法規(guī)和相關(guān)制度追究當(dāng)事人的責(zé)任。