研究创新


信息安全知识管理  提升全员安全意识

作者简介:吕康,谷安天下高级咨询顾问,具备丰富的IT风险管理及流程的专业知识,拥有丰富的ISMS项目实施经验,在项目中协助客户进行风险评估,并根据风险评估的结果结合客户企业文化进行风险处理,建立符合ISO 27001标准的信息安全管理体系(ISMS),并且与客户当前的管理体系(包括:ISO 9001 ISO2000以及CMMI)进行整合,使之符合客户的不断变化的业务需求和业务环境,从而保持持续经营,有效达成客户期望。同时具备丰富的IT风险管理软件设计与部署、实施等方面经验。

文章正文:

在建设信息安全管理体系时,提高企业人员的信息安全意识是一项非常重要且又困难重重的任务。首先,提高员工信息安全意识是各种信息安全管理体系标准中共同的要求,无论是ISO27001系列,还是国内的等保标准,都会提到对人员的管理,以及提高人员的信息安全意识的要求;虽然在标准中提到的是“适当的意识培训和组织方针及程序的定期更新培训”,但培训的最终目的,无非就是从实质上提高企业全体工作人员的信息安全意识。其次,提高人员的信息安全意识又是安全项目中很容易被忽视的环节,提供咨询或培训服务的专业人员虽然会在项目期间提供一整套信息安全意识培训课程,并为企业为日后的日常培训留下建议和参考资料,企业员工也会为了学习相关知识而收集资料,为企业积累了大量的知识,但是企业的信息安全管理者在利用这些经验和资源来对员工进行信息安全意识教育时,却发现有很多困难,例如:企业有大量相关知识,分散在各个服务器、系统、个人电脑,甚至个人的头脑中,需要时却找不到;文档资料存在不同版本,每个人手头上拿到的都不一致,信息不对等,造成混乱和重复劳动;新员工入职,一时间无从下手,不知道阅读学习哪些内容,很难进入学习状态;关键员工离职,公司业务、文档、重要数据等深受影响;公司跨地域管理,组织中的各个部门,办事处或子公司在地里上分散,导致信息共享困难,效率低下……这些问题归根结底都属于同一个类型:缺乏对企业的知识进行有效的管理。

那么什么是知识管理呢?

知识管理(KMKnowledge Management)是网络新经济时代的新兴管理思潮与方法,管理学者彼得·杜拉克早在一九六五年即预言:“知识将取代土地、劳动、资本与机器设备,成为最重要的生产因素。”受到1990年代的资讯化蓬勃发展,知识管理的观念结合网际网络建构入口网站、资料库以及应用电脑软件系统等工具,成为企业累积知识财富,创造更多竞争力的新世紀利器。上个世纪90年代,面对着企业核心竞争力从以资本和自然资源为核心的模式转变到以知识资本为核心的模式,Karl-Erik Sveiby 博士提出了知识管理的管理概念。所谓的知识管理是指基于企业知识生命周期管理,整合企业内部知识资产,同具体业务流程相结合,以提高企业核心竞争力的管理模式。在知识经济时代,对企业内部知识资本进行管理业已成为企业提高核心竞争力的必要之选。

  与信息安全相关的知识亦属于企业的知识资产,信息安全知识管理,亦属于企业知识管理的大范畴,在知识经济的大环境下,企业搭建知识管理平台进行知识管理已成为帮助企业应对企业知识资本相关难题的有效解决方案。通过建立知识管理系统,整合企业内部知识资本,实现企业知识管理,能够有效解决信息安全意识教育面临的那些困难,即员工将更有效的利用和共享信息安全相关的知识。

信息安全知识管理所需要的平台应该具备哪些基础功能呢?

一、通过知识管理将信息安全知识进行积累,通过平台保存起来。

这是信息安全知识管理的基础。知识的积累,首先要整合知识,一方面是将员工头脑中的隐性知识通过消化和总结转化为可以保存在系统平台上的显性知识;另一方面将员工从其他地方收集的资料通过改造和提炼,提交到系统平台上;再对知识进行整合,形成易于学习和理解的知识表现形式。其次要对知识进行评价,将整合好的知识进行评估,分析知识的价值和实用性,以便对知识进行更新。

因此在知识采集时应该能够在企业异构、分布式信息环境下使用这样才能为企业整合内部知识资产建立坚实的基础。而且应该能够支持多种资料来源,可以将不同格式资料(word/excel/PDF/TXT等)存储于系统中。而且系统应该具备强大的系统扩充性,以实现大型企业用户的使用。

二、通过门户方式将积累的信息安全知识在公司内进行共享。

知识共享是知识管理的目的。因此知识在发布时需要比较灵活的目录结构,以适应企业中复杂的知识环境;灵活的检索和知识地图将方便用户在海量数据找到所需知识;完善的安全和权限管理机制使知识的共享和保密达到一个有利的平衡。

这仅仅是通常意义上对知识管理平台的基本要求,回到我们的主题——信息安全知识管理上来。在目前市场上,专业做知识管理平台的厂商有很多,但通常仅仅提供系统软件,而专业的信息安全知识是任何一家软件厂商无法提供的。企业用户利用知识管理平台积累信息安全知识也不是不可以,但毕竟也不是专业安全机构,从头做起必然花费很多人力物力,因此,将专业的事交给专业的机构是现代企业的必然选择。北京谷安天下科技有限公司的IT风险管理系统(ITRM)正是涵盖了以上需求的一款软件,知识管理平台虽然仅仅是IT风险管理系统的一小部分功能,仅仅就知识管理这部分而言,这个软件就实现了平台化管理知识,以及专业公司提供专业的知识本身这两大需求。谷安天下经过多年的相关领域咨询经验,积累了大量的信息安全知识,并不断的进行更新和调整,通过IT风险管理系统的“知识管理”模块来发布,可以使客户在使用本系统之初,就站在了巨人的肩膀上,而平台本身具备的功能,企业可以灵活添加和管理自己的知识。


图:知识地图

通过系统平台管理信息安全知识,企业员工通过使用平台来学习和管理信息安全相关的知识,是我们进行信息安全意识教育的一种途径,它与课堂培训相辅相成,最终达到提高全员信息安全意识的目的。


  • 附件:信息安全知识管理 提升全员安全意识.rar

  • E-mail:market@gooann.com

    Fax:010-51626887-816