每个企业都有自己的信息安全要求,根据行业特点的不同,信息安全管理的需求则不同;如何选择自己的信息安全策略需要衡量多方面的因素,例如:企业的产品特点、面对的 、企业员工的素质水平、企业文化等;企业需要权衡这些因素决策。
针对一般的研发型企业而言,由于做的是高技术附加值产品,其核心知识若被盗用,将给企业带来很大的麻烦,甚至与灭顶之灾。因此,研发型企业的信息安全是非常重要的,这点我们都可以理解。然而,严密的信息安全策略带来好处的同时也会有负面的问题,例如:员工的行为受到很大制约,员工的工作积极性和创造力会受到影响;企业的知识传播、可持续发展将受到影响;员工的不安全感很强,与企业之间的信任度降低;研发生产效率降低等等;这些问题是企业面对的直接困难,需要权衡哪些信息需要严格保密,哪些信息可以在一定范围内公开,这里就有一个度的问题;
举个例子,多半企业为了提高生产效率、降低工作期间的非工作行为,会对员工的上网行为进行监控;这里不得不提的是,员工的隐私和行为也会因此有一定的曝光;尤其是监控聊天内容、邮件内容等;这种情况被员工获知后会带来相当大的负面作用,员工的反感度会很大的提升,因而带来的离职率、消极怠工等情况会屡屡发生。对上网监控,我们在一定范围内是支持的,企业的终极目标是产生效益,需要知道员工是否在为企业创造价值;但是,我们需要注意方法和手段,可以监控网络流量、可以监控上网IP,知道员工是否在工作,但是不能监控交流的信息,给员工一定的空间和安全感,毕竟这是人的基本需求--被尊重的需求;
说道这里,不得不说企业管理者和员工之间的矛盾是无时不刻存在着;企业经营需要尽可能创造利润,而员工也需要获取到更多,这其中的平衡是多少管理者都难以解决好,并深陷其中的。
这里,还有企业文化问题,企业的一项策略,尤其是涉及到员工利益的,都需要在实施中对员工进行很好的宣贯和疏导,至少保证大部分的员工了解和理解实施这项政策的原因,这样才能保证实施中不会有大的问题;信息安全策略也一样,需要有这样一个公开的沟通过程;
信息安全现在是很难做到全方位监控,若要做到,企业投入的人力物力成本是相当大,需要考虑很多环节:电脑的一些接口:USB、蓝牙、红外、数据卡等,网络数据传输(邮件、MSN、QQ、web上传等),设备携带出去等;多种信息可传输的通道,导致了信息安全工作的复杂性;
因此,信息安全工作需要重点保护公司的核心资产,例如公司的客户资料、源代码、产品设计资料等信息,这些是公司存身立命之根本。而对这些方面的保护就可以通过一系列措施,而不是全面撒网,包括信息安全工具的使用,关键岗位人员的管理,规章制度的落实等来进行保障。 |