第一篇:提升组织信息安全意识的重要性
信息安全 意识为先
——提升组织信息安全意识的重要性
作者:谷安天下 刘敬国
2011年12月底在国内发生的互联网用户信息泄露事件,由于涉及CSDN、人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等众多知名网站,因此被媒体广为报道。事件的起因是这些网站采用了明文存储用户名和密码,在遭受黑客攻击后大量用户数据库被公布在互联网上。已经有很多信息安全人士从技术角度进行了分析,我们不妨换一个视角去看这个事件,相信诸如CSDN国内最大的程序员网站,其安全防护措施应该都具备,安全人员的技术能力也比一般组织要强,那到底是什么导致了最终用户数据泄漏?
在人们质疑这些网站抵御攻击的能力的同时,相信也注意到了一个关键的问题,他们都采用明文方式存储用户数据。设想一下如果这些网站采用加密方式存储关键数据,即便遭到攻击数据被窃取,也未必能够被破解进而造成数据泄漏。对于普通人来说“加密”这个术语是个“技术问题”,然而对于专业从事信息安全相关技术人员(包括管理人员、开发设计人员、安全管理员、审计人员等)来说,我不认为这还是什么“技术问题”,而是“安全意识问题”。为什么说是意识问题,如果以一到考题的形式出现“用户名和密码在系统中应明文存储还是加密存储?”,我相信以上人员都会选择后者,然而事实却恰恰相反。在多年的安全咨询和培训实践中,我把组织的“安全意识问题”表象总结为三类:第一类,确实不知道,所谓无知者无畏;第二类,知道但不重视或忽视;第三类,存在侥幸心理,认为事情不会发生在自己头上(不理解墨菲定律:“会出错的终将会出错”);对于此次事件明显属于后两者。
实际上,由安全意识引发的问题在组织中由来已久,并且在组织的各个层面都存在,可以通过几个案例来说明: 案例一:HBgary Federal邮件泄露
2011年2月6日,HBGary Federal公司创始人Greg Hoglund尝试登录Google企业邮箱的时候,发现密码被人修改了,这位以研究“rootkit”而著称的安全业内
www.xiexiebang.com
资深人士立刻意识到了事态的严重性:作为一家为美国政府和500强企业提供安全技术防护的企业,自身被黑客攻陷了!更为糟糕的是,HBGary Federal企业邮箱里有涉及包括美商会、美国司法部、美洲银行和WikiLeak的大量异常敏感的甚至是见不得光的“商业机密”。
在整个事件中,黑客组织“匿名者”透露的攻击细节中,我们大致能了解到,攻陷这家知名安全公司防卫森严的网络堡垒,其实并不需要才用多么特殊的高深技术,“人”的漏洞最终导致HBGary Federal声名扫地。其首席执行官Aaron Barr和他领导的管理层犯下了最原始最不可饶恕的信息安全“漏勺”:在所有的账户中使用相同的密码。黑客组织“匿名者”只是通过攻击其企业网站所获得的外围密码,就开启了Barr几乎所有的网络账户:Twitter、Linkedin…当然,最糟糕的是Gmail企业账户,里面有HBgary Federal公司的客户:索尼、强生、杜邦等500强企业的私密信息,当然,还有那些涉及政府部门和组织的“特殊商业计划”。案例二:索尼遭遇“数据门”
索尼从2011年初开始,多次遭到黑客入侵,超过7000万玩家资料可能遭窃取,这些资料包括邮箱、密码、信用卡号等,索尼公司于4月20日关闭PSN和Qriocity服务。这让日进斗金的索尼游戏业务陷入瘫痪。此外,由于消费者资料泄露可能导致更为严重的网络钓鱼等大面积网络安全案件,美国、英国、澳大利亚和中国香港等国家和地区的政府已经开始对索尼PlayStation Network网络遭黑客攻击及用户数据失窃情况展开调查,一批游戏玩家已向美国法院提出上诉,控告索尼在保护PlayStation Network网络用户数据方面玩忽职守,违反了它与用户签订的服务合同,整个索尼品牌面临一次空前严重的灾难。
普渡大学的Gene Spafford博士在美国众议院商务委员会的听证会上揭开了导致这次史上最严重的消费者数据泄漏事件的重要原因:索尼的服务器运行着一个过期的Apache Web server软件,没有打上补丁,也没有安装防火墙。而索尼早在几个月前已经知悉此事,因为问题早已在论坛上报告给索尼工作人员。很明显,不是黑客匿名组织的技术高超,而是索尼负责信息安全的员工在此次事件中犯下了低级错误,结果门户大开,引狼入室。
www.xiexiebang.com
案例三:电子54所窃密案
河北省石家庄市中国电子科技集团第54研究所爆出惊天窃密案。一个当地派出所警察,负责54所去海南试验的保卫工作,半路上被策反,然后逐渐拉上了54所打扫办公室卫生的清洁女工,两人从印刷厂、复印室、内部网上搞到了大量信息。破案后,安全部长说,这些资料给10000亿也不卖,几十年来对台电子斗争成果全部打了水漂,整个底朝天。可以设想一下,如果54所员工具备较强的信息安全意识,此二人不会如此轻易获得这些资料。
以上所举三个案例涉及企业管理层、技术人员及普通员工,可见上至企业老总、下到基层员工,安全意识的薄弱正在成为企业面临的最大风险,忽视信息安全意识教育,可能遭受灾难性的打击。在我国,2006年国信办组织“信息安全管理体系标准试点工作”,之后很多组织开展了安全管理体系建设工作;2007年7月四部委发布《关于开展全国重要信息系统安全等级保护定级工作的通知》,要求在全国范围内开展等级保护工作。无论安全管理体系标准还是国内的等保保护要求,都提到对人员的意识教育,但在具体实施中提高企业全体人员的信息安全意识目前还面临重重困难,这与组织本身缺乏对于信息安全意识教育的正确认识有关。
误区一:安全预算绝大部分都投入在产品上
现在组织对安全的认识和重视程度在逐步提高,不少组织都不惜花费大量资金用于购买了网络安全设备和软件。然而,绝大多数是组织宁愿花重金在安全技术和产品上,也不愿在全员信息安全意识教育上有所投入,而从HBgaryFederal事件得出的教训就是,黑客往往能够采用最低的成本,从组织最薄弱的人员突破,使得企业花重金打造的安全体系成了“马其诺防线”,而实际上在提升全员信息安全意识上的花费是所有安全投入中性价比最高的。误区二:提高信息安全专业人员的技能就可以了
组织所面临的大量安全问题,往往由信息安全团队无法完全控制的原因而引起 :员工本身的安全意识。信息安全人员可以给系统打补丁、升级杀毒软件,以及不遗余力的看护装有防护设备的关键设施,但是组织安全事件还是屡屡发生,www.xiexiebang.com
只要员工能够收到外界的电子邮件、访问网站以及干其他类似的事情,组织就会持续不断地出现安全问题。因此,仅仅提高安全人员的能力是远远不够的。究其原因如果不从提高全员安全意识的角度根本上来解决问题,组织的安全工作永远都是被动的。
误区三:信息安全意识教育培训一次就够了
在我们所服务过的客户中,绝大多数组织的领导者或者人力资源部门认为,提高全员信息安全意识就是随便搞搞培训,而且搞一次就行了,实际上信息安全意识教育远不止搞一次培训这么简单(详细论述请参加《信息安全意识为先——如何提高组织信息安全意识》一文)。正是基于这种思想,即便搞了培训效果也不好,这样就陷入了恶性循环的怪圈之中。
正是基于对上述情况,谷安天下在2010年率先进行了首次“中国企业员工信息安全意识调查”,根据结果显示,受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,占到42.8%的比例;对于目前有效保护企业和组织信息安全面临的最大障碍,受访者认为最大的障碍是普遍缺乏信息安全意识。提高全员信息安全意识的重要性由此可见,提高全员的信息安全意识应该摆到组织信息安全建设的议事日程上来。
信息安全隐患认知情况
www.xiexiebang.com
对有效保护信息安全面临最大障碍的认知情况
www.xiexiebang.com
第二篇:安全意识重要性
安全生产的重要性
安全是身心健康、家庭美满、企业安身、社会和谐的共同基础,也是我们全厂职工的共同期望。我们在工作中经常会看见高高兴兴上班来,平平安安回家去等安全提示标语,也经常会开展安全检查整治活动,可以说,安全话题无处不在。然而在这浓厚的安全氛围中,违章违纪问题却时而发生。追根溯源,不难发现有法不依、有章不循、管理失严、措施不力等问题因素,认真分析问题实质,大都总归于“安全意识淡薄”。
事故苗子千千万,安全意识是关键。有人认为意识不是安全的决定性因素,因为每年都会开展众多的安全系列活动。从表面看,确实对安全工作极为重视,但在落实过程中,有些职工走马观花,敷衍了事,只为重“视”,而却从未重“实”,安全思想犹如一阵风,风过而止,并未真正将安全入脑入心。
思想是行动的先导,安全意识的淡薄与浓厚决定着我们日常工作中的安全警惕性。安全意识的核心是尊重生命的价值,是对生命理念的传达。所以,轻视自我和他人价值是造成安全意识淡薄的根本原因。增强安全意识,不仅仅是为了生产生活,而是服务于生命本身的一种责任,是安全工作的灵魂。安全意识决定着人们的安全行为,通过提高安全意识达到纠正危险行为是安全工作的重要任务。在许多安全问题中,最难以克服的属于习惯性违章。安全行为意识在一般情况下,无论是有无文化、无论是干部职工,在任何时候做任何事情时都存在着侥幸和懒惰心理,安全意识薄弱,于是在日常的生产生活中逐渐形成习惯性的潜意识违章行为。
安全意识的培养是一项长期持久的工程,我们要积极动员,全方位开展各项安全工作。切实发挥好亲情助安全、技术保安全、教育促安全、协作助安全等安全保障作用,不断增强干部职工的安全意识,促进干部职工从要我安全的保护型升华到我要安全的自觉型,构建安全防范长效机制,真正从自身做起,从点滴做起,为安全生产持续稳定奠定坚实基础
为了我们的家人和亲人有一张欢乐的笑脸,请珍惜和尊重我们的生命,让我们时刻牢固树立“安全第一”的思想,始终牢记安全才能生产,生产必须安全,让安全生产始终铭记于我们每一位员工的心中。
第三篇:如何提升安全意识
如何提升安全意识
提升员工安全意识的三大法则:
法则一:安全知识胜于安全设施。
(什么叫安全知识:就是人们面对风险时,知道该怎么做,包括安全规程、安全制度、安全常识等。)法则二:安全意识强于安全知识。
(我们工作中的“三违”,绝大多数人不是不知道违章,而是有意无意地违章,这就属于安全意识淡薄的表现。)法则三:安全意愿优于安全意识。
(所谓安全意愿:是指员工履行安全生产职责,实现安全绩效的意志和原望,也就是说员工在工作中要主动地去追求安全,而不是要别人来要求你。
三大法则表现为三个层次: ■ 安全知识是基本层次。■ 安全意识是深层次。■ 安全意愿是核心层次。
树立正确的安全理念
■ 所有事故是可以预防的!
■ 所有安全操作隐患是可以控制的!
■ 安全是每个人的责任!
■工作中的安全和工作外的安全是同样重要的!
■安全就是效益,安全就是福利,安全就是幸福,安全就是一切。每个员工都应该有的观念
当你学习去注意、观察你自己和周围其他人如何工作,你就会更加留意工作区域的安全情况。与此同时,你就能更好地辨别和消除可能引起伤害的因素。
我们要注意“预防”
(一)作业前的安全注意事项
(1)安全确认与检查:检查要使用的机械、工具有无异常;检查班组成员是否按标准穿戴好劳保用品。(2)确认自己及他人的身体状况,不要让其疲劳作业、或有带有明显的不良情绪作业。(3)对作业环境的危险因素进行检查。(4)熟悉相关操作规程,不得依个人意志行事。
(二)作业中的安全注意事项
(1)思想高度集中不要和周边的人玩笑;(2)杜绝以下几种不正常心理: 麻痹心理; 好胜心理;逆反心理;好奇心理;(3)注意周边环境,防止意外伤害.(4)提高安全意识,发扬“我要安全”的精神,发现安全隐患,尽快报告班组长或者安全人员以及时处理;(5)严格遵照作业规程,不得依个人意志行事。
(三)加强“三前”意识
(1)“防在前”: 事实证明,很多事故都是可以避免的,之所以会发生事故,只是因为一些管理人员和操作人员缺乏安全防范意识和超前意识,忽略了平时的安全工作,才未能及时发现和排除隐患,直到隐患扩大、恶化,甚至造成严重的后果。(2)“想在前”:每天工作前,要坚持“先思考再工作”,注重在工作中思考应该怎样预防安全事故的发生,要想到通过什么方法、采取怎样的措施,才能保证安全生产。(3)“做在前” :在生产过程中,对于人的不安全行为、设备的不安全状态、环境的不安全因素和尚未整改的缺陷等,我们的职工应该充分认识到可能导致发生伤害事故的各种因素。
发生事故,我们要坚持“四不放过”
● 一不放过——事故的隐患原因不查清不放过;
“事故的隐患原因不查清不放过”,我们可以查清事故发生的原因,事故的发生在哪一层、哪一个环节上,是人为造成的还是设备隐患造成的,以使在以后的工作中知道应该怎样做、不应该怎么做,避免事故的再次发生。
● 二不放过——事故的责任人未得到处理不放过; “事故的责任人未得到处理不放过”使责任者从思想深处挖掘自己的过失,知道违反了什么规程,为什么会违反,以后在工作中怎样对待安全,从而提高职工的安全生产意识。
● 三不放过——整改措施未落实不放过; “整改措施未落实不放过”可以进一步对安全生产工作进行整改,没有采取安全防范措施的要立即采取措施,避免事故的发生。
● 四不放过——有关人员得不到教育不放过。“有关人员得不到教育不放过”,只是想告诫这些人,尤其是这些违章的人,规章制度是用血的教训写成的,任何人只有无条件地服从,触犯了必将受到严肃
处理。从而进一步提高员工的安全生产的自觉性,确保广大职工的生产安全。
我们要做到“四不伤害”
● 不伤害自己,是我们工作中必须做到的最低标准;
● 不伤害他人,是最起码的职业道德。
● 不被他人伤害,是难以做到而又必须做到的职业规范。
● 保护他人不被伤害,更是我们追求的职业目标。
安全意识疲劳之表现
(1)抑制:指对安全学习、安全教育等活动呈停滞、空白,甚至排斥、抵制状态,对活动不感兴趣,听不进,记不住,安全学习只是走过场,有躲避和逃避的主观愿望。这点在青年工人中表现明显,上完安全教育课找青年人提问,基本“一问三不知”。
(2)松驰:指在执行规程和纪律等方面,松懈、疲塌、不认真。基本特征是经常违章违纪,工作时蛮干,自以为是。这也以青年人为主,在督查中常发现年轻人往往思想都有麻痹大意倾向,表现出不在乎,不注意劳动保护,逞能。
(3)紧张:指在安全生产中,产生了一种无名的压力感。随着季节的变化,设备的异常,事故或特殊情况的出现,感到惊慌失措,忧心忡忡,自己不相信自己,结果越怕越出事。这在老员工和基层主管生产和安全的领导中显得尤为突出。
操作之时顾左右,互相提醒够朋友
■ 安全伙伴最大的义务:经验分享是需要,相互监督是必要。最能
做到的是关照和提醒,最该做好的是提醒和关照。
■ 提醒是义务,提醒是责任,提醒是关爱,提醒是幸福。
■ 调整心态,只要是善意的提醒,我们都应该接受。
■ 提醒安全,提醒别人,也不要忘了提醒自己,自己安全自己管,依靠别人不保险。
识别岗位危害,有力保障安全
■ 实行全员风险管理,发动全员辨识危害。
■ 我们常说“紧绷安全这根弦”,那么,“安全这根弦”指的就是风险意识。“紧绷”,就是时时刻刻要意识到危险的存在,不可掉以轻心,麻痹大意。
■ 人人要重视危害识别,要知道不识别危害,最终会被危险所害。■ 善于学习,掌握工具,具备发现危害的能力。
■ 做到全过程。全过程识别包括作业前、作业中和作业后。
集中思想,安全勿忘
■ 设备好不如态度好,态度好才是真的好。■ 管理措施再严格,如果手忙脚乱,也会滋生祸端。■ 严守程序,绝不逾越,杜绝乱中出错。
■ 防止出错,避免出错方法——防呆法。防呆法就是:呆子,傻子也不会出错的方法,比如我们是电脑上有很多插槽,它是有方向的,你插错了就插不进去,就可以避免出错。
只要有可能,就让它变成不可能
■ 有隐患不一定出事故,出事故背后一定有隐患。
■ 放过隐患,必有后患。想一想:侥幸心里产生 的客观原因是什么?答案:
1、不一定。
2、不确定。
■“不是不报,时候未到”。只要有隐患存在,触发条件一出现,必然会造成事故。
■ 不忽视小概率事件,不放过可能性小的隐患,因为,再小的概率,一旦发生也是百分之百的损失。人在隐患没有变成祸患的时候,往往意识不到隐患的存在。
做到“三老”“四严”“四个一样”
● “三老”:做老实人,说老实话,办老实事。
● “四严”:对待工作要有严格的要求,严密的组织,严肃的态度,严明的纪律。
●“四个一样”:黑夜和白天一个样,坏天气和好天气一个样,领导不在现场和领导在现场一个样,没有人检查和有人检查一个样。
规章制度血写成,不要用血来验证
● 制度的本意是什么?制度就是规矩,就是人们做事必须遵守的尺度。
●制度的灵魂在于执行。
● 企业最缺的不是制度,而是制度的执行。
● 对于安全制度和规程,我们要有两种正确的态度?● 一是要知道敬畏。●二是要懂得感恩。
习惯性违章,不能习惯性不管
●习惯决定安全。好习惯让人一生平安,坏习惯让人祸事连连。
●习惯性违章就是员工有错不改,一错再错。
●习惯性违章的三个特点:
一、顽固。
二、传染。
三、传承。把“习惯性违章”变成“习惯性反违章”。
● 对习惯性违章,为什么会出现习惯性不管?
一、不会管。业务不熟、制度不清。
二、不能管。自己也在违章。
三、不敢管。管理者怕得罪人。
四、懒得管。责任性不强。
● 只要是隐患再次出现,就是人们的习惯性违章。
造就本质安全人
● 意识养成——我要安全。我要安全:是指存在于员工内心深处安全意识,包括有关安全的道德观、价值观以及思维方式、行为准则,是员工对企业各种安全管理措施的情感认同。
● 技能培训——我会安全。“会”的前提是明白,明白操作原理、明白制度规定、明白操作规程。对员工进行技能培训是实现“我会安全”所不可省略的一环。
● 配置资源——我能安全。企业需配置必要安全设施、人力资源、专项技能、技术资源、财力资源,让所有想安全、会安全的人,能够安全。
当然,员工不能拿条件是否具备作为出事故的借口。同样的条件,为什么出事故的不是别人,而是自己?这是需要员工自己反省的。● 制度规范——我须安全。设备是死的,人是活的,管住了人,就管住了安全生产中最大的变量。领导有情,管理无情,制度绝情。
第四篇:安全意识的重要性
安全意识在施工安全中的重要性
意识是人脑的机能,是对客观现实的反映,它包括认识的感性阶段和理性阶段。从意识的能动性而言,它能够指导人们的行动,使人们的行动具有目的性、方向性和预见性。因此,意识的存在会对事物发展进程起到巨大的促进抑或阻碍作用。而在工程施工当中,各类安全隐患较多,事故的发生后果严重。所以,施工安全管理工作就必须以“预防为主、预防为上”的方针进行,即在事故发生之前,就需要及时发现、并采取解决措施、进行有效防范或制止,不能坐等事故的发生,再就事论事的进行认识、教育。安全生产是人类生存发展过程中永恒的主题。随着社会的进步和经济的发展,安全问题正愈来愈多的受到整个社会的关注与重视。搞好安全生产工作,保证人民群众的生命和财产安全,是实现我国国民经济可持续发展的前提和保障,是提高人民群众的生活质量,促进社会稳定的基础。
而在企业的社会生产活动中,特别是建筑施工行业,安全就是形象,安全就是发展,安全就是需要,安全就是效益的观念,正在被广泛接纳,并更多的受到建筑施工企业的高度重视。
然而,在实际的工程施工当中,各类施工安全事故还是频频出现,给社会、给施工企业带来巨大的财产损失和人身伤害。如何有效地预防和减少这类伤害与损失,就成为我们需要急切解决的问题。对此,我们在施工安全管理的实践与探索中认识到,要搞好工程施工中的安全工作,首要的前提与任务,就是要不断的提高施工管理人员和工程施工人员的安全防范意识。
而安全意识的形成,也是需要一个过程与方法的,对此应当从三个层面去着眼与落实。
第五篇:安全意识的重要性
安全意识的重要性
所谓安全意识,就是人们头脑中建立起来的生产必须安全的观念,也就是人们在生产活动中各种各样有可能对自己或他人造成伤害的外在环境条件的一种戒备和警觉的心理状态
探求事故成因,人、物和环境因素的作用,是事故的根本原因。从对人和管理两方面去探讨事故,人的不安全行为和物的不安全状态,都是酿成事故的直接原因。从导致事故的比例看,人的不安全行为又占导致事故的主要因素。人出现一次不安全行为,不一定就娄发生事故,造成伤害。然而不安全行为,一定会导致事故。既使物的因素作用是事故的主要原因,也不能排除隐藏在不安全状态背后的,人的行为失误的转换作用。而人的不安全状态有主要决定于人的意识状态。良好的安全意识是预防人不安全状态的根本措施。
安全生产是人类生存发展过程中永恒的主题。随着社会的进步和经济的发展,安全问题正愈来愈多的受到整个社会的关注与重视。搞好安全生产工作,保证人民群众的生命和财产安全,是实现我国国民经济可持续发展的前提和保障,是提高人民群众的生活质量,促进社会稳定的基础。
而在企业的社会生产活动中,特别是矿业,安全就是形象,安全就是发展,安全就是需要,安全就是效益的观念,正在被广泛接纳,并更多的受到各矿业的高度重视。
然而,在实际的工程施工当中,各类施工安全事故还是频频出现,给社会、给施工企业带来巨大的财产损失和人身伤害。如何有效地预
防和减少这类伤害与损失,就成为我们需要急切解决的问题。对此,我们在施工安全管理的实践与探索中认识到,要搞好工程施工中的安全工作,首要的前提与任务,就是要不断的提高施工管理人员和工程施工人员的安全防范意识,减少事故的发生。有了安全意识,才能决定你在工作的行为,行为决定你的习惯,习惯决定的素质,素质决定了你的命运,用你的良好安全意识来掌控你的命运,充分叫响三不要的口号。