業務部門表面上支持,實際上不配合。這是很多企業在實施信息安全管理體系的過程中,實施者最常見的體驗和抱怨。業務部門的支持是壹個永恒的問題。造成這個問題的原因有很多,比如“我工作很忙”、“我剛出差回來,要出門,沒時間看那些安全攻略”、“不要相信我,我不會泄密”、“我們工作已經很忙了,請不要再給我們工作了”等等。真的沒時間?顯然不是。真正的原因是“生意才是最重要的,其他都是次要的”“這幾年沒這麽倒黴了”。對安全隱患的嚴重性認識不夠,覺得僥幸。不僅僅是普通員工,壹些管理人員甚至核心管理人員都不同程度的有這種想法。
首先,信息安全負責人在具體實施過程中也要考慮時間的統籌安排。畢竟企業以盈利為目的,生意很重要。在具體工作安排上,要盡可能節省業務部門人員的時間,比如安全意識的提升,而不僅僅是課堂培訓的壹種方式。內部網站、定期提示郵件、小冊子、打印機和復印機旁邊的提示、臺歷上的安全故事都是不錯的選擇。信息安全宣傳方式要靈活,如果妳了解業務部門,業務部門也會歡迎和理解妳的工作。
其次,應向業務部門充分解釋實施具體控制措施的好處。很多落實到業務部門的安全控制措施,如果執行得好,對業務部門是有利的,有助於降低業務部門和相關人員的風險。業務部門不配合很大程度上是因為他們自己沒有看到這壹層,我們的實施者也沒有跟業務部門人員說清楚。大多數情況下,業務人員了解這壹層後,會積極配合,接受控制措施的實施對工作效率造成的暫時影響。
再次,就具體安全產品(如終端控制軟件、CA證書)的實施而言,在實施初期,由於業務部門人員對操作不熟悉,工作效率會受到壹定影響,但壹旦人員操作熟練,這個問題就不存在了,而且由於安全控制的完善,業務部門的安全風險會降低, 業務部門人員在終端或系統故障上花費的時間會減少,業務部門的工作效率會提高。