企業(yè)如果想真正的保護(hù)IT系統(tǒng)安全的話，就必須讓安全成為企業(yè)文化中或缺的有機(jī)組成部分。

　　安全不是放之四海而皆準(zhǔn)的邦迪牌創(chuàng)可貼。一個(gè)致力于保護(hù)自己網(wǎng)絡(luò)安全的企業(yè)，一定會將安全植根與企業(yè)的各個(gè)方面之中——包括員工的安全意識。

　　構(gòu)建企業(yè)安全文化的第一步要明確安全是至上而下的，管理層首先必須引起重視。譬如說在思科公司，企業(yè)的首席執(zhí)行官JohnChambers必須遵循公司的領(lǐng)導(dǎo)企業(yè)的各項(xiàng)安全并且應(yīng)該在執(zhí)行安全方面做出表率作用。

　　首要準(zhǔn)則

　　對于企業(yè)各個(gè)部門來說，安全是一個(gè)相當(dāng)重要的問題，應(yīng)該由一個(gè)專門的委員會掌管。為了保證企業(yè)安全措施得以有效的貫徹執(zhí)行，應(yīng)該有專人負(fù)責(zé)安全問題。

　　許多知名企業(yè)，包括思科、通用、亞馬遜網(wǎng)上商城都有專門的首席安全官或是首席安全信息官，他們的主要任務(wù)就是保證在企業(yè)的內(nèi)部各個(gè)分支的網(wǎng)絡(luò)不留下任何漏洞給黑客以可乘之機(jī)。

　　培訓(xùn)和談話

　　安全培訓(xùn)計(jì)劃對于構(gòu)建并保持企業(yè)的安全是至關(guān)重要的。培訓(xùn)材料的形式應(yīng)該多樣化，包括小冊子，通訊，電子郵件和小型的論壇，網(wǎng)站信息發(fā)布和多媒體資料。那些致力于普及安全文化的企業(yè)會在內(nèi)部使用各種各樣的方法。使用形式多樣的教育手段會讓員工無時(shí)不刻不在接受一種安全教育。

　　構(gòu)建方便快捷的安全信息獲取渠道。Starbucks公司就專門構(gòu)建了電子閱覽室?guī)椭鷨T工了解如何保護(hù)公司的系統(tǒng)和數(shù)據(jù)安全。公司鼓勵(lì)員工使用這一系統(tǒng)查找關(guān)于電子郵件和數(shù)據(jù)加密等等安全問題。

　　通訊也是構(gòu)建企業(yè)安全文化的一個(gè)重要工具。最重要的是讓員工意識到安全關(guān)乎他們的切身利益。沒有人會因?yàn)橐驗(yàn)閮H僅是公司政策要求就去認(rèn)真執(zhí)行相關(guān)規(guī)定。企業(yè)的管理層應(yīng)該讓他們明白會什么要采取相關(guān)的安全措施，回答員工的疑問，還有在執(zhí)行和升級企業(yè)安全策略的時(shí)候?qū)で髥T工的支持。

　　好的通訊還意味著有針對性的安全信息。盡管一些安全指導(dǎo)和警告在整個(gè)企業(yè)范圍內(nèi)應(yīng)用，但是一些部門總會有特殊的情況——譬如說出差在外的員工如何保護(hù)筆記本的安全。在公司的BBS上標(biāo)上醒目的標(biāo)語對于加強(qiáng)企業(yè)的安全文化書大有裨益的。又譬如在思科公司，員工爭相成為“保持思科安全”和“安全支持者”的一份子。

　　要形成安全使用計(jì)算機(jī)的管理制度，有必要建立一個(gè)獎(jiǎng)勵(lì)和認(rèn)可機(jī)制。又是在思科，對企業(yè)安全做出重要貢獻(xiàn)的員工，公司會給與一個(gè)牌匾和相應(yīng)的物質(zhì)獎(jiǎng)勵(lì)。對于做出一定貢獻(xiàn)的員工會獎(jiǎng)勵(lì)一件“SecurityChampion(安全支持者)”的T恤衫。所有獲獎(jiǎng)的員工都會在開會時(shí)得到公開的表彰。

　　保持彈性

　　為了安裝新的技術(shù)和應(yīng)對新的安全風(fēng)險(xiǎn)，企業(yè)安全文化必須具有相應(yīng)的彈性。安全政策的制定須與日新月異的威脅相適應(yīng)從而保證安全不至于拖了企業(yè)的后腿。此外，要充分發(fā)揮員工的積極性和主動(dòng)行，為公司的安全出謀劃策。

　　做到以上各點(diǎn)，你會發(fā)現(xiàn)你的企業(yè)已經(jīng)形成了一個(gè)良好的安全文化。