企业员工的信息安全意识及其培养路径探析(附件)【字数：8492】

摘 要摘 要现今环境，信息技术迅速发展，而提高企业员工的信息安全意识势在必行。针对于已有的理论文献在企业安全培养路径只是单纯拿出其中一方面内容进行探讨分析，本论文把企业在培养员工信息安全意识中所运用到的方法综合成一个系统框架，通过分析文献和经验总结，来研究员工信息安全培养路径。其中，激励机制和员工培训主要实现引导作用，高管支持和处罚机制主要实现监督和控制作用，由于培养路径和员工安全信息意识的提高之间的联系太过模糊，在本文中引入中间介质信息安全行为。通过培养路径到信息安全行为再到员工信息安全意识，以一个链式的结构进行联系，达到准确探析员工信息安全意识培养路径的目的。在本文最后，通过分析一正面一反面两个信息安全事件，实现员工安全意识培养路径在实际中的应用。本文的员工培养路径体系，总结了已有的员工安全信息培养的各个方面，并且可以推广的一般性的企业进行系统的应用。关键词信息安全；信息安全意识；信息安全行为；高管支持
Keywords：Information security；information security awareness；information security behavior；top management support目 录
1 绪论 1
1.1 研究背景及研究意义 1
1.1.1 研究背景 1
1.1.2 国内外研究现状 1
1.1.3 研究意义 3
1.2 研究内容和方法 3
1.2.1 研究内容 3
1.2.2 研究方法 4
2 员工信息安全意识概述 6
2.1 企业信息安全意识内容 6
2.1.1 企业信息安全意识的形成 6
2.1.2 企业信息安全概念 6
2.1.3 企业信息安全意识 6
2.1.4 人员信息安全意识 6
2.2 企业员工信息安全意识现状调查 7
2.3 员工信息安全意识培养 8
2.3.1 企业员工安全意识培养的发展 8
2.3.2 国内相关的法律法规及培养体系制度 9
3 员工信息安全意识提高过程 11
3.1 员工信息安全行为 *好棒文|www.hbsrm.com +Q: ^351916072# 
11
3.2 信息安全行为与信息安全意识的联系 11
3.3 员工信息安全培养路径 12
3.4 链式体系 13
4 企业员工信息安全意识培养路径探析 14
4.1 信息安全意识培训 14
4.1.1 人员选择 14
4.1.2 培训内容 14
4.1.3 培训流程图 16
4.1.4 培养效果减弱的预防办法 16
4.2 激励 16
4.2.1 激励机制的原理及建立 16
4.2.2 激励机制的内容 17
4.2.3 激励机制的运作 17
4.3 处罚机制 18
4.3.1 处罚机制的原理 18
4.3.2 处罚机制内容 19
4.3.3 威慑理论的应用 19
4.3.4 约束条件 20
4.4 高管支持 20
4.4.1高管支持的意义 20
4.4.2 高管信念 21
4.4.3 高管参与 21
5 案例分析 23
5.1 IHI军工企业遭受黑客攻击事件 23
5.2 前员工窃取客户信息获刑案件 23
5.3 员工信息安全意识培养途径的应用 24
结 论 26
致 谢 27
参考文献 28
企业员工的信息安全意识及其培养路径探析
1 绪论
1.1 研究背景及研究意义
1.1.1 研究背景
在现在信息化的社会中，信息已经成为企业或者组织的一类不可或缺的资源，也是企业隐形的财产，正因为其在企业发展中的重要性，信息安全也得到越来越多的重视，在企业中，信息安全关系到企业的安全；从员工的角度上来讲，信息安全是个人主体需要承担的责任；从企业业务流程来说，信息安全以为着企业能不能正常的运作，能不能可持续的发展，所以，企业的信息安全，无论相对于企业的哪一部分或哪一环节，都是至关重要的
信息全球化的确使人们受益匪浅，可同时表现出来的是信息的不可控性，网络的复杂则进一步的对组织管理等方面产生进一步的威胁，而这威胁，并不会随着安全技术这方面的提升慢慢减少，据统计，在所有的信息安全事件中，由于技术层次方面的原因导致的仅占20%30%，其中70%80%是员工信息安全行为不当导致的[1]，且同时，性质最恶劣的企业数据泄露问题，其中78%同样来源于内部员工的不规范行为，所以，企业对于员工的安全意识培养，在这愈加严峻的信息安全环境下，显得尤为重要。
1.1.2 国内外研究现状
自2001年起，以美国为首的海外先进国家，就表达出对信息产业迅速发展的忧虑，并通过一系列的调查表明信息安全对于企业至关重要。而在信息安全技术提高的同时，因组织内部的信息安全风险并不会随着技术的提高而得到改善，所以研究的重点从信息安全技术转移到组织内的人为因素。美国国家互联网应急中心、国家计算机网络应急技术处理协调中心调查结果表明，信息安全事件来自组织内部威胁的比例一直在44%52%区间波动[2]。这充分证明出在人为因素对信息安全的影响愈加重要，国外学者也对此不断的进行分析研究，进而涌现出不少成果，主要有以下几个方面：

图1 国外研究成果
在信息安全技术不足的条件下，企业高管对于非技术层面的管理显得尤其重要（加强监督、减少模糊管理、制度的建立、定期评估），人员在信息安全领域的培养同样不能轻视（改变信息安全人员待遇、教育新员工等等）。信息安全不只是信息安全人员的职责，更是企业全体人员都应负起的责任。
目前在我国，由于信息产业较国外起步较晚，却崛起的异常迅速，所以在信息化发展的同时，相对应的保障措施和一些细节部分就不能与如今的发展速度相匹配。尤其是在信息安全这一部分，一方面，针对外部信息安全威胁许多企业大多采用国外的安全软件等，另一方面，在大部分的中小企业并没有建立起系统的信息安全意识。由此我国企业的信息安全问题暴露出各种不足：
1）制度的缺失。在一些中大型企业中，一般都建立了信息安全部门，或安全监管部门，并有一套信息安全制度，但这制度只是针对于特定的部门，而没有相对应的在整个企业制订一套完整的信息安全制度或者不同的部门拥有不同的安全信息制度，因此企业在信息安全这一方面有相当大的威胁。
2）重视不足。在如今企业的内部战略计划中，信息安全问题一般都会被放在最后面考虑，一方面是因为信息安全会占用相当一部分资源却不能在短时间内看出成效，另一方面是因为企业管理人员对信息安全的重视不够，没有足够的重视，也就没有足够的资金和人员投入，这样就会导致企业的信息安全难以在迅速发展的信息化时代中完好的保全自己，难以在越来越高级的外部攻击和组织内部管理方面建立起有效的保护措施。

版权保护: 本文由 hbsrm.com编辑，转载请保留链接: www.hbsrm.com/jsj/xxaq/215.html