信息安全事件捂着盖着还是立即通报

信息安全事件捂着盖着还是立即通报 – 安全意识博客Skip to content

中华民族的复兴和崛起主要依赖国民的奋发图强，在全球化大时代背景下，西方当代文明带给我们的积极影响，我们也不能否认。

信息时代风云变幻莫测，源自英美强国的信息安全管理体系ISMS方法在全球政治经济一体化的大环境下演变成了ISO国际标准。毕竟，保护好全球互联网的安全，需要一个可以进行跨国紧密合作的沟通框架；在企业间的信息安全交流和管理中，也需要有共同的语言来建立互信机制。

数千年来，多次朝代更替，中原文化也多次历经外族入侵，然而主体的中华文化特性却能始终保持下来。随着知识经济全球化以及互联网的迅速发展，西方文化对我们的影响也日益增强，不过相信精华将被吸取，糟粕将被摒弃。ISO 27001信息安全管理标准在面临中国几千年传统文化之时，会产生什么碰撞和融合效果呢？今天我们来探讨一下信息安全管理体系中的一个重要话题——信息安全事件管理。昆明亭长朗然科技有限公司的企业安全顾问James Dong说：在信息安全事件的披露和响应方面，西方文明讲求事实和科学；而中华文明则关注伦理与影响。

如何有效响应信息安全事故呢？这里面并没有中西文化优劣之说，但却值得我们细细思索和采取必要的措施。James举例说：大到国家层面的信息安全监管机构，小到公司部门的安全协调人员，都很难让人们主动报告信息安全事件。这就如同领导上台提倡让下属们进行自我批评一样，几乎没人会真正来揭丑亮短，这就是中国公司很少有信息安全事故报告出来的主要原因。

明眼的信息安全管理人员会制定相关的制度，以期通过惩戒“隐瞒不报”、“迟报”、“谎报”等手段来激励人们报告信息安全事故。这能起来一部分的效果，但是并不足够。因为“一票否决”、一把手负责等等政治因素，加上责任和面子，会让安全事件发现人员和级级的领导阶层先做一个评估。评估是为了决定私下大事化小、小事化了，捂着盖着，还是乖乖上报。

此外，即使有一个机构或部门中的某个环节出现一点纰漏，整个机构或部门帮忙“打掩护”的情况也很多见。为什么这些人们要这样呢？他们仅仅只是为了自己小范围的利益而牺牲大范围的集团利益吗？答案并非如此，原因在于人们不理解信息安全事故报告和处理思想及流程。James分析出如下几条常见的心态：

1.在中华传统文化中，事故往往是不好的，丑事坏事都不吉利，应该尽量规避，好事不出门，坏事传千里，我们不应该记录和传播不好的事儿。

2.出事是不应该的，出事儿意味着责任心不足、态度不好或能力有问题……这些无疑将带来负面的影响，不想在仕途或职场倒霉就别让这传播出去。

3.在我这弄出的事儿，我这儿要给它灭了，不要去劳烦上司。等事儿给解决了，可能领导也不过问了，即使再报告或许也能获得个从轻发落，甚至因为响应及时而获得领导的褒奖。

对公司信息安全管理负责人来讲，要让员工们及主管经理们建立正确的信息安全事件观念，可不能不考虑这些固有的文化心态。在了解这些心态之上，采取必要的安全意识沟通教育，方能建立健全有效的信息安全事件管理流程。

相似的文章 Similar Posts: