[突破信息安全潜规则]信息安全

在解决信息安全的道路上，管理是根本，技术是保障。只有从管理、制度、技术等多方面保障信息安全，才能充分发挥企业信息资产的最大价值。信息化在一定程度上是企业信息由过去的传统纸介质走向电子化的过程，从而方便于企业信息共享、统计分析，最终成为企业运营管理决策的依据。信息安全就是在保障企业信息秘密的前提下，让信息发挥出最大化的效益。为此，要在信息安全和信息效益两者中找到平衡点。

理性对待信息安全

在企业的实际运营过程中，对待信息安全有两种现象。一是高层管理者谈安全色变，认为信息一旦电子化后，信息的安全性得不到保障。这已经成为阻碍信息化实施的一个“潜规则”；二是it人员简单地认为，信息安全就是技术层次的问题，可以通过技术手段（例如防火墙、入侵检测等）解决，偏重于考虑网络安全，而没有真正领会到领导的痛处。

笔者认为，在对待信息安全方面，有以下几点需要明确：

1.持续性：要求我们关注技术的发展，关注传统信息安全与非传统信息安全的演变；

2.全面性：企业信息涵盖企业经营的方方面面，如产品配方、制造流程、生产工艺等，要关注信息流动的各个环节；

3.复杂性。持续性、全面性的特点也恰恰决定了信息安全的复杂性。运用社会工程学，从技术体系的运用到改进管理体制的不足，可以彻底解决信息安全的被动局面；

4.战略性。管理者对信息安全的认识与理解是解决信息安全问题的根本动力，对企业信息安全的实施要上升到企业竞争情报与企业商业秘密保护的高度。