谷安天下安全易视.doc

一、安全易视简介“安全易视”是谷安天下从实践中探索并总结出来倾力打造的信息安全意识教育产品,凝聚了众多信息安全专家团队的智慧与心血,引领行业信息安全意识教育的革命,引领信息安全管理的方向。“安全易视”以大众化信息安全意识培养作为信息安全工作重点,主要用于企业对全体员工进行长期信息安全意识教育。二、安全易视的研发背景信息安全意识的重要性信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家,保持关键的信息资产的安全性都是非常重要的。据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%—30%是因为黑客入侵或其他外部原因造成的,70%—80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告(2010)》结果显示,受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,%的比例,提高全员信息安全意识的重要性由此可见。就我国而言,2006年国信办组织“信息安全管理体系标准试点工作”,之后很多组织开展了安全管理体系建设工作;2007年7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展等级保护工作。然而,无论安全管理体系标准还是国内的等保保护要求,都会提到对人员的意识教育,但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难,这与企业和组织本身缺乏对于信息安全意识教育的正确认识有关。信息安全意识理解的误区误区一:安全预算绝大部分都投入在产品上现在企业和组织对安全的认识和重视程度在逐步提高,不少企业都不惜花费大量资金用于购买了网络安全设备和软件。然而,绝大多数是企业宁愿花重金在安全技术和产品上,也不愿在全员信息安全意识教育上有所投入,而从HBgaryFederal事件得出的教训就是,黑客往往能够采用最低的成本,从企业最薄弱的人员突破,使得企业花重金打造的安全体系成了“马其诺防线”,而实际上在提升全员信息安全意识上的花费是所有安全投入中性价比最高的。误区二:提高信息安全专业人员的技能就可以了企业所面临的大量安全问题,往往由信息安全团队无法完全控制的原因而引起:员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防护设备的关键设施,但是企业安全事件还是屡屡发生,只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情,企业就会持续不断地出现安全问题。因此,仅仅提高安全人员的能力是远远不够的。究其原因如果不从提高全员安全意识的角度根本上来解决问题,企业的安全工作永远都是被动的,信息安全人员一直都会是救火队员。误区三:信息安全意识教育培训一次就够了在GooAnn所服务过的客户中,绝大多数企业和组织的领导者或者人力资源部门认为,提高全员信息安全意识就是随便搞搞培训,而且搞一次就够了,实际上信息安全意识教育远不止搞一次培训这么简单。正是基于这种思想,即便搞了培训效果也不好,