所有企业都提安全费吗?
做安全工作的来答一拨吧! 首先,必须承认一个事实:IT行业是高危行业之一,网络安全事件时有发生。 然后,说一下大多数(注意我用的是大多数)企业对信息安全的认知过程: 首先,某领导在某个场合听到关于信息安全的谈话(或者收到某份报告),觉得信息安全很重要,需要建立一套体系来进行保护; 然后,请第三方咨询/服务机构来做风险评估/安全检查/漏洞扫描/渗透测试等,发现各种安全问题或隐患,出具一份调查报告,建议如何改进; 再然后,企业根据评估报告来制定整改方案,进行修补加固、更新升级,并安排人员培训/认证,提升员工的安全意识与技能; 接着,企业聘请专业律师事务所,签署相关的法律条款,明确各方的权利和义务,从制度层面保障信息安全的落实; 最后,有些幸运的企业,可能还会请专业的公关公司,做好舆情监控和危机处理预案,防患于未燃。
其实,每个企业设立信息安全专项后,应该按照“预防为主,防治结合”的原则,建立一套完善的信息安全管理制度体系,通过教育、培训、宣传、奖惩等措施,确保制度执行的有效性。 同时,还应当明确各方安全责任:领导负责信息安全整体规划,相关部门负责人依据职权划分,负责各自领域的网络安全工作,技术部门具体落实技术防护措施,运维人员维护设备正常运行.... 当然,还有一项最重要的内容容易被忽略——信息安全应急预案的编制。
企业应该在充分分析风险特征的基础上,提前设想可能会出现的网络安全事件,并制定相应的处置办法和流程,开展应急培训和演练,提高应急处置能力。 如果能够做到上述这些,可以说这个企业的信息安全建设基本达标了。 而建立这样一套体系所需的人力、物力、财力成本其实并不算高。