信息安全策略实施困难的原因与对策分析

【摘要】　随着企业生产规模的扩大，其所掌控的资产也越来越多。信息作为企业重要的资产，其安全性正得到越来越多的企业的关注，很多企业为了保证自身信息的安全与保密性，也制订了自身的信息安全策略。然而，很多企业的信息安全策略常常形同虚设，没有发挥其应有的作用，甚至存在着严重的漏洞，为企业的健康发展埋下了不小的隐患。笔者结合自身多年的工作经验，就企业信息安全策略实施过程中存在的问题进行分析，并针对性的提出几点对策，希望对相关人士能有所帮助。

【关键词】　信息安全策略；实施；困难与对策

1 企业信息安全策略实施困难的原因

信息安全策略被制订出以后，最为重要的环节就是将其有效的实施。只有通过实施，才能对企业的信息安全起到积极作用。然而信息安全策略的实施不仅与其实施过程有关，而且与其制定有着密切的联系，因此笔者将导致信息策略实施困难的因素分为两大部分。

1.1 信息安全策略制定过程的影响

首先，制定人员选择困难。制定一个高效权威的信息安全策略不是一个简单的工作，信息安全策略的指定人员对策略的熟悉程度与接受性具有非常大的影响，信息安全策略的指定人员必须深刻的了解企业的生产、运营、文化与目标，且还要熟悉企业当前已有的信息安全策略与规则，制定人员还应熟悉国家相关法律法规，掌握信息安全策略的制定技巧。

此外，企业信息安全策略本身也是一种管理策略，因此，其制定须吸收企业各个岗位与层次的职工意见与工作需求，对于上市公司而言，信息安全策略的制定还需董事会与股东大会的统一以及律师的认可，以上苛刻的条件决定了信息安全策略指定人员选择的难度十分大，间接的影响了企业安全策略的实施。

其次，信息安全策略本身的原因。为了达到预期效果，使执行人员更好的了解和掌握，信息安全策略的内容必须具有易读性、易理解性，如果信息安全策略包含模糊或难以被理解的内容，就会给执行人员造成困扰，影响安全目标的实现。信息安全策略还应具有实用性，很多企业的信息安全策略制定后，并没有发挥其作用，而是被仍在角落里，发生信息安全事故时，处理人员的应对方式往往是根据自己的经验，而不是经细致研究后制定的信息安全策略，即使是一些规模较大的企业和部门，这种现场也十分常见。在实际信息系统中，安全威胁是的的确确存在的，只有增加信息安全策略的实用性与针对性，才能使其更好的发挥作用。信息安全策略的以上特点，也增加了其制定难度，最终影响到企业信息安全策略的实施。

1.2 信息安全策略实施过程中面临的困难

信息安全策略在实施过程中所面临的困难，主要可分为两个方面。

1.2.1社会环境因素

社会环境因素包括企业管理者的行为和企业职工之间的相互关系等。

首先，大部分企业的领导都将企业工作的重点放在企业的生产、收益和员工管理上，很少将信息安全作为衡量企业运行状况的重要指标，虽然很多企业都将创造安全工作环境作为提高企业领导水平和企业生产能力的关键指标，然而，很多企业却仅仅是将安全作为一个口号，没有真正的重视起来，使其成为一纸空文。

其次，企业领导的领导风格也是影响信息安全策略实施的重要因素，经调查发现，作风果敢干练的革命型领导者可以使下属对其安全承诺具有更强烈的认可与感知。

第三，企业的管理者与员工之间的信任度也是影响信息安全策略实施的重要因素，管理者的安全承诺也是企业成功的重要原因，很多企业的管理者对此都没有形成一个正确的认识，在企业中也没有充分向职工表达安全承诺，没有指定可靠的培训措施、安全的生产政策与生产目标，导致上行下效，企业中没有形成重视信息安全的氛围，为信息安全策略的实施增加了很大的困难。

第四，员工之间的相互关系也是影响企业安全的重要原因，一个充满凝聚力的群体更容易严格遵守信息安全策略的规范。

1.2.2员工的自我效能感较差

自我效能感并非是职工的工作技能，也不代表他的真实能力，而是个体对于自己对完成任务能力的评价。如果一个员工不相信自己的能力，那就不会表现出胜任行为。在实际工作中，很多员工对工作都是抱着完成任务的心理，没有充分地调动起自己对工作的积极性，很多信息安全策略的执行人员对自己工作的重视程度也不够，认为自己的工作不能带来直接的收益，受这种思想的指导，在施行企业信息安全策略时，也只是懒懒散散的去敷衍，而非真正的将工作落到实处，而企业中的普通职工，信息安全意识更多的是受到其执行人员的影响，执行人员没有将工作当重点来抓，对信息安全策略的推行模棱两可，导致普通职工也没有将这项工作放在重点位置，而将其当做一个形式，在信息安全策略的推广上，职工的工作能力与工作价值没有得到充分的体现，形成一个懒懒散散的安全环境，最终阻碍了信息安全策略的落实，为企业的信息安全与健康发展埋下了隐患。

2 如何保障企业信息安全策略的实施

2.1 严格筛选制定企业信息安全策略的人员

对于小型企业来说，企业的技术负责人可以兼任信息安全策略的制定者，而对于大型企业，则应成立专门的工作小组来但当信息安全策略的制定者，这个专门的小组应由多方人员构成，其主要任务就是制定并实施企业信息安全策略，还应负责策略的评估与修订。

此外，企业的管理层还应指派一位企业领导来指导和协调此工作小组的工作，以显示企业对信息安全策略的重视程度。信息安全策略作为企业管理策略的重要组成部分，需要企业各级管理层的积极参与，技术人员和安全人员能够提供良好的技术支持，尤为重要。由于信息安全策略对企业的发展有重大影响，因此，企业的业务人员也应积极参加。

如此，信息安全策略制定小组就能够充分的听取各方意见，以保证信息安全策略的科学制定与实施效果最大程度的接近预期目标。如果企业已上市，则还开董事与股东大会，对已制定的信息安全策略措施、制度进行表决，经董事会与股东大会同意后，还应倾听企业律师与员工代表的建议，保证信息安全策略符合相关法律法规的规定，并借助普通职工的力量，寻找策略中的不足，增强其可信性，使企业信息安全策略能够有序的自上而下的推行，影响企业人员的行为。只有充分尊重并收集企业各个层次的员工与领导层的意见，才能在策略的制定与实施中受到良好的效果。

2.2 保证信息安全策略的可行性

信息安全策略应具有的两大特征为可读性与实用性，因此，企业信息安全策略的制定应始终围绕这两大特点来进行。

首先，应加强资料搜集与调研中作，很多时候，因为工序复杂和操作难度较大等原因，该步骤都被一定程度上简化。然而，资料收集不全面，调研工作不充分将导致信息安全策略的制定与企业实际的安全需求相一致，也无法与企业的管理目标相契合，导致信息安全策略的可读性下降。

其次，还应做好信息安全策略的评审，信息安全策略的制定具有很高的政策性，评审小组一般由各级管理部门、普通职工、技术、安全人员组成，在信息安全策略的制定过程中进行评审，使其能够更加简洁与清晰，增加其可读性，为其以后的实施奠定基础。

第三，增加信息安全策略的实用性，分析企业内部的信息结构，信息安全策略的制定应与之相适应，使信息安全策略的实施能够符合企业的组织结构特点，在企业发生安全事故时，能够在信息安全策略中找到足够的依据来处理发生的问题。

2.3 有效的实施企业信息安全策略

首先，企业管理者应充分重视信息安全策略的实施，并给与充足的制度、外力支持，由于信息安全策略的实施会给员工与部门带来额外的工作，却无法直接带来好处，很多员工对此都有抵触情绪，因此高层领导的支持能够使策略实施的阻力大为减小，只有领导层重视了，才能引起下属职工的重视。

其次，加大推广力度，指派专门的信息安全策略负责人员，明确其责任，也让员工明白遇到问题时该由谁负责和解决。还应加大培训力度，将信息安全策略于内部网络，或制成条幅悬挂，使员工在日常工作中就能潜移默化的被策略所影响，还可以制作相关的影音文件，使员工能够更加方便的学习，针对不同的对象制定与之相适应的培训方针。

参考文献

[1]　吕韩飞，王钧.信息安全策略实施困难的原因与对策[J].浙江海洋学院学报（自然科学版），2011（03）.

[2]　裴毅.高校数字图书馆信息安全管理研究[J].安徽科技学院学报，　2009（05）.

[3]　翟雪荣，刘志刚，卞春.信息系统信息安全风险管理的发展趋势分析[J].农业网络信息，2007（12）.

作者简介：

袁国锡，男，2001年毕业研究矿山自动监测与控制专业，硕士，工程师。

杜兆梅，女，学士，工程师；研究方向：信息经济管理。