業務部門表面上都支持,但實際工作中並不配合。這是很多企業信息安全管理體系推行過程中,具體實施人員最常見的體會和抱怨。業務部門的支持是壹個永遠的問題。導致這個問題的原因很多,“工作很忙”,“出差剛回來,還要出去,根本沒時間看那些什麽安全策略”,“不要不相信我,我不會泄密”、“我們工作本來就很忙,拜托別再給我們增加工作了”等等。真的沒有時間嗎?明顯不是,真正的原因是“業務才是最重要的,其它都是次要的”、“我幹的這幾年,運氣不會這麽差吧”,對安全風險的嚴重性認識不足,心存僥幸心理,不僅壹般員工如此,有的管理層人員乃至核心管理層人員都不同程度有如此想法。
首先,信息安全負責人員在具體實施過程中,也要考慮統籌安排時間,畢竟企業是以贏利為目的的,業務是很重要的,在具體工作安排上,在不影響工作績效的前提下,要盡可能以節約業務部門人員的時間的方式進行,比如安全意識的宣傳,不要只是課堂培訓壹種方式,內部網站、經常性的提示性郵件、宣傳小冊子、打印機復印機旁的小貼士、臺歷上的安全小故事都是不錯的選擇,信息安全宣傳方法要靈活,妳理解業務部門,業務部門也會歡迎,也會理解妳的工作。
其次,落實具體控制措施的好處,要向業務部門講透。向業務部門推行的很多安全控制措施,如果能夠得到良好的落實,對業務部門也是有好處的,有助於降低業務部門及相關人員的風險,業務部門不配合很大程度上是因為他們自己還沒有看到這壹層,我們的實施人員也沒有向業務部門人員點透這壹層。大部分情況,在業務部門人員明白這壹層後,都會積極配合,也會接受因為控制措施實施導致的工作效率暫時性所受到的影響。
再次,單就實施具體的安全產品(如終端控制軟件、使用CA證書)而言,在實施初期,由於業務部門人員操作不熟悉,會在壹定程度上影響工作效率,但壹旦人員操作熟練後,就不存在這個問題了,而且由於安全控制的提高,會降低業務部門的安全風險,減少業務部門人員用於終端或系統故障的時間,提高業務部門的工作效率。