电力企业信息安全文化的建设
随着电力企业的发展,信息安全管理规范需要进行不断优化改进,下面是小编搜集整理的一篇探究电力企业信息安全文化建设的论文范文,欢迎阅读借鉴。
摘要:提出了电力企业信息安全文化的构建,从提高员工信息安全意识和建立信息安全管理规范两方面入手,提高员工信息安全意识,可以形成统一的信息安全理念和"信息安全、人人有责"的信息安全文化氛围;建立信息安全管理规范,让信息安全文化有章可循,有据可依。通过企业信息安全文化的构建,提高企业信息安全防护能力。
关键词:企业信息安全;企业文化;管理规范
1、现状分析
企业在信息安全建设时,为了信息安全的最大化保障,花费了大量的财力,购置基础防护设施,不管是信息安全硬件还是软件,但是信息安全问题还是频发。溯其根源,大部分是因为企业内部员工信息安全意识过于薄弱。据统计,在发生信息安全事件时,只有20%~30%是因为外部人员破坏或其他外部原因造成,另外70%~80%是由于内部员工的疏忽或有意泄漏造成的[3]。根据GooAnn发布的《2012年度中国企业员工信息安全意识调查报告》结果显示,在所有受访者中,只有9.4%有良好的信息安全意识。因此,如何提高员工信息安全意识,不仅对企业的发展有利,也对员工自身有所帮助。员工有了好的信息安全意识,还需要管理制度作为企业文化的准则。以国网江西省电力公司为例,根据国网公司的统一要求,首先,使用通用制度作为公司统一的管理制度,国网省公司只能编制相应的补充管理规范。管理规范如何能够体现员工自身的意愿,除了内容要符合公司实际情况以外,更为重要的是需要一个好的管理规范修订办法,不断改进提升管理规范,满足公司信息安全的发展需求。
2、电力企业信息安全文化建设
提高员工信息安全意识的主要手段包括培训、宣贯和考核等,但是填鸭式的培训和宣贯往往收效甚微,甚至可能适得其反,为提升员工信息安全意识,让员工自身投入到信息安全中,感受信息安全企业文化。本文以国网江西省电力公司为例,主要从以下三个方面开展。
2.1提高员工信息安全意识
信息安全培训有时候往往理论和实践是分离的,未能做到理论和实践有效相结合。为了进一步提高信息安全意识培训的效果,本文提出使用“理论-实践-理论”的培训模式。该培训模式的思想为:从理论中来,到实践中去,又回到理论本身,形成一个抽象到具体,又从具体中抽象的过程。“理论-实践-理论”培训模式步骤介绍:理论代表管理规范的抽象要求,实践代表管理规范的具体实施细则。首先,通过对管理规范的学习,了解公司总体的'信息安全要求,通过学习与自身工作岗位相关的管理规范,对岗位信息安全要求有所了解。其次,在已有的信息安全知识基础上,培训学习公司目前部署的所有信息安全技术手段,并熟练使用这些技术手段,通过技术手段对员工行为的约束,更为深刻地了解管理规范的具体条款。最后,回到管理规范条款的仔细学习,通过结合管理规范和技术手段,加深自己对信息管理规范的理解。虽然有了合理的培训模式,但是信息安全意识的提高还是不能一蹴而就,需要循序渐进,不断加深员工对信息安全的认识和了解,加强企业信息安全氛围,使信息安全成为国网公司企业文化的组成部分。国网江西信通公司,作为信息安全的责任和专业单位,对企业信息安全工作的开展起着重要作用,为更好地提高员工信息安全意识,依托信通公司的专业知识,主要从以下三个方面信息安全企业文化构建工作。
2.1.1开展多渠道的信息安全知识宣贯
信息安全知识需要随时随地的学习和熟悉,只有通过多渠道的宣贯,才能让企业员工时时刻刻都能接触到信息安全知识,并得到学习和警示。发挥国网江西信通公司的专业优势,采用浅显易懂的文字和图片相结合的方式,编制信息安全知识手册,发放给每个员工学习,碰到不清楚的地方,随手可查。其次,通过国网江西信通公司负责运维的内网门户网站,设立信息安全知识宣贯专栏或飘窗,利用定期更新的方式,让员工每天可以接触到信息安全知识,加深了解。另外,利用员工每天高频率使用的个人办公电脑作为宣传媒介,开展宣贯工作,比如:设立办公电脑信息安全知识桌面壁纸、屏保动画及鼠标垫等等。通过以上多渠道的宣贯,让信息安全知识随时随地可以学习,让员工感受到信息安全企业文化触手可得,闲暇可学。
2.1.2定期组织信息安全知识讲座讨论
信息安全知识不断推陈出新,所以需要定期开展信息安全知识的讲座,让员工获得最新的信息安全知识。国网江西信通公司现有多名国网领军及专家人才,还有兼职培训师,都是信息安全方面的能手,利用他们专业的技能,开展信息安全知识讲座讨论,让员工感受到信息安全知识的重要性。另外,为了进一步加深员工对信息安全知识的了解,可以邀请国网公司相关专家,开展信息安全案例的讲座,通过对发生在自己身边的信息安全案例进行学习,更能认识到信息安全不是纸上谈兵。通过信息安全知识讲座讨论,感受到信息安全企业文化重在实践,近在身边。
2.1.3开展信息安全知识趣味竞赛
除了宣贯和讲座以外,了解信息安全知识的另一个好的途径就是考核,但是考核只会让员工死记硬背,不能真正了解信息安全知识的实质内容,所以,可以通过理论知识和实践知识竞赛的方式,让员工主动学习信息安全知识,也能学习如何把理论和实践相结合。通过开展信息安全知识趣味竞赛,并加以物质或精神奖励的方式,可以鼓励员工积极主动地学习信息安全知识,同时可以让员工有参与感,形成人人参与,人人有责的信息安全企业文化氛围。
2.2信息安全管理规范的修订
随着电力企业的发展,信息安全管理规范需要进行不断优化改进,并及时修订发布,以适应新的信息安全管理要求。在对管理规范进行修订时,通常根据二个方面开展:第一、国网公司的通用制度修编,国网公司统一发布新的通用制度,国网省公司进行新制度的学习和遵循;第二、国网省公司根据实际情况进行管理规范的调整。其中,第一方面由国网公司统一组织,国网省公司主要开展第二方面的修订,根据员工对信息安全认知的提高和实际工作问题的反馈,进行管理规范的修订,然而,员工对问题的描述往往较为模糊,并不像信息安全管理人员或运维人员描述的准确,所以会导致管理规范修订存在不精确的问题。为了改进这样的修订机制,本文选择由信息安全管理技术出发,技术手段是对管理规范的具体化,也是对管理办法内容的可操作化。所以,本文提出了从技术手段入手,逆向来提炼管理规范修订需求,管理规范修订流程图通过员工使用企业的信息安全管理设备和信息安全管理系统,向专业信息安全运维人员反馈在使用中存在的问题,然后由信息安全运维人员和管理人员进行提炼汇总,形成管理规范修订的新需求,从而更为准确地修订信息安全管理规范。
参考文献:
[1]国家电网公司.国家电网公司企业文化手册[M].中国电力出版.2007.
[2]李雪,白洁,胡晓荷.品文化之悟成功之道-信息安全企业文化面面观[J].信息安全与通信保密,2008(5).
[3]李旭,孙硕.浅析企业文化建设与员工信息安全意识[J].现代营销,2012(11).
【电力企业信息安全文化的建设】相关文章: