困惑五：忘记安全是一个动态的过程。“信息安全花了这么多钱，为什么还出事”，在企业中，特别是发生重大的信息安全事件后，不时会听到这种声音。出现这种声音，有两种可能，一种是安全没有落实到位，安全最重要的是落实，空中楼阁式的安全管理只是美丽的肥皂泡，结局只能是又获得一次惨痛的教训。在实践中，还有另外一种情况，企业执行力也不错，各项措施也有落实，但还是出现问题了。这时出现这种声音，问题在于持这种说法的人，问题出在他的思维方式上。风险是一个动态的过程，信息安全也是一个动态的过程，产品技术标准不断发展和完善，信息安全威胁也是不断地升级换代，随着企业信息化程度的进一步加深，企业核心业务对IT依赖度的进一步加强，信息安全问题会相对越来越多，这是一个不可扭转的趋势和现实。现实的情况是上这些设备，建了这个体系，会减少很多安全问题和风险，但不能完全避免，如果不上这些设备和体系，问题只会更多。这一点是信息安全管理部门和人员最希望得到管理层和业务部门理解的一点。
    100％的安全是没有的，也是不可能的，即使是与要时刻核算成本的企业相比，可以“不计成本”投入的安全部门和军队，也做不到100％的安全，美国的CIA、FBI和国防部不也不上一次发生过网页被改，重要机密被泄露的事件吗？美国SP800标准中不也是把“绝对安全”改为“相对安全”了吗？
信息安全事件的发生具有一定的必然性，也有偶然性，不能单凭信息安全事件的影响程度和发生与否作为考虑安全管理人员绩效考核的唯一标准。对于管理层而言，重要的是考虑在信息安全方面的投入和风险接受级别间找到一个平衡点
    困惑六：其它企业的成功的经验，为什么在我们这里却不行。信息安全管理实施模式切忌生抄照搬，一定要结合自己企业的企业文化和实际情况进行。在执行力强的企业中，很多控制措施可以一步到位，但在执行力稍差的企业中，就是考虑是不是要分步实施；在对大型企业或金融行业，每年有固定的IT预算，IT投入较充裕，一些安全控制手段可能考虑通过技术实现，但在一些小型企业或IT投入较小的企业，就要考虑通过管理实现。除此之外，还要考虑企业文化的其它方面，如企业的不同性质、企业领导人的不同风格、企业内部沟通机制、信息安全主导部门和人员在企业中的地位诸多等因素。
    另外，在信息安全管理过程中需要以人为本，尊重人性。在企业的信息安全管理中，除了产品和技术外，人员的因素非常重要，人员的无意泄密还可以通过培训提高安全意识来改善；可以通过邮件审计、打印复印控制、USB控制、硬盘或文件加密等方法，减少泄密的渠道；但对人脑记忆的信息的传播是无法通过技术来控制的，至少目前的技术手段是实现不了的。而且技术手段实现的诸多的监控，更多是为安全事件的留下证据，与之相比，事前预防是最重要的，加强事前预防的最可行和有效的手段就是从管理方面通过包括人性化管理、信息安全奖惩等方法综合运用不断增强员工对企业的认同感、归宿感和忠诚度。

    作者简介：牛志军，金融证券期货行业资深信息安全顾问，BS7799LA，国家注册审核员，国内第一批ISMS实施咨询专家；对于信息安全咨询有丰富的理论基础和实施经验，擅长于行业风险评估、IT审计、ISMS建设、企业内部控制等领域，曾成功主导多家知名企业信息安全项目的实施工作，发表信息安全论文多篇；对营销管理、战略管理、人力资源管理等有广泛涉猎。

(责任编辑：adminadmin2008)