企業(yè)如果想真正的保護IT系統(tǒng)安全的話，就必須讓安全成為企業(yè)文化中或缺的有機組成部分。

　　安全不是放之四海而皆準(zhǔn)的邦迪牌創(chuàng)可貼。一個致力于保護自己網(wǎng)絡(luò)安全的企業(yè)，一定會將安全植根與企業(yè)的各個方面之中——包括員工的安全意識。

　　構(gòu)建企業(yè)安全文化的第一步要明確安全是至上而下的，管理層首先必須引起重視。譬如說在思科公司，企業(yè)的首席執(zhí)行官JohnChambers必須遵循公司的領(lǐng)導(dǎo)企業(yè)的各項安全并且應(yīng)該在執(zhí)行安全方面做出表率作用。

　　首要準(zhǔn)則

　　對于企業(yè)各個部門來說，安全是一個相當(dāng)重要的問題，應(yīng)該由一個專門的委員會掌管。為了保證企業(yè)安全措施得以有效的貫徹執(zhí)行，應(yīng)該有專人負(fù)責(zé)安全問題。

　　許多知名企業(yè)，包括思科、通用、亞馬遜網(wǎng)上商城都有專門的首席安全官或是首席安全信息官，他們的主要任務(wù)就是保證在企業(yè)的內(nèi)部各個分支的網(wǎng)絡(luò)不留下任何漏洞給黑客以可乘之機。

　　培訓(xùn)和談話

　　安全培訓(xùn)計劃對于構(gòu)建并保持企業(yè)的安全是至關(guān)重要的。培訓(xùn)材料的形式應(yīng)該多樣化，包括小冊子，通訊，電子郵件和小型的論壇，網(wǎng)站信息發(fā)布和多媒體資料。那些致力于普及安全文化的企業(yè)會在內(nèi)部使用各種各樣的方法。使用形式多樣的教育手段會讓員工無時不刻不在接受一種安全教育。

　　構(gòu)建方便快捷的安全信息獲取渠道。Starbucks公司就專門構(gòu)建了電子閱覽室?guī)椭鷨T工了解如何保護公司的系統(tǒng)和數(shù)據(jù)安全。公司鼓勵員工使用這一系統(tǒng)查找關(guān)于電子郵件和數(shù)據(jù)加密等等安全問題。

　　通訊也是構(gòu)建企業(yè)安全文化的一個重要工具。最重要的是讓員工意識到安全關(guān)乎他們的切身利益。沒有人會因為因為僅僅是公司政策要求就去認(rèn)真執(zhí)行相關(guān)規(guī)定。企業(yè)的管理層應(yīng)該讓他們明白會什么要采取相關(guān)的安全措施，回答員工的疑問，還有在執(zhí)行和升級企業(yè)安全策略的時候?qū)で髥T工的支持。

　　好的通訊還意味著有針對性的安全信息。盡管一些安全指導(dǎo)和警告在整個企業(yè)范圍內(nèi)應(yīng)用，但是一些部門總會有特殊的情況——譬如說出差在外的員工如何保護筆記本的安全。在公司的BBS上標(biāo)上醒目的標(biāo)語對于加強企業(yè)的安全文化書大有裨益的。又譬如在思科公司，員工爭相成為“保持思科安全”和“安全支持者”的一份子。

　　要形成安全使用計算機的管理制度，有必要建立一個獎勵和認(rèn)可機制。又是在思科，對企業(yè)安全做出重要貢獻的員工，公司會給與一個牌匾和相應(yīng)的物質(zhì)獎勵。對于做出一定貢獻的員工會獎勵一件“SecurityChampion(安全支持者)”的T恤衫。所有獲獎的員工都會在開會時得到公開的表彰。

　　保持彈性

　　為了安裝新的技術(shù)和應(yīng)對新的安全風(fēng)險，企業(yè)安全文化必須具有相應(yīng)的彈性。安全政策的制定須與日新月異的威脅相適應(yīng)從而保證安全不至于拖了企業(yè)的后腿。此外，要充分發(fā)揮員工的積極性和主動行，為公司的安全出謀劃策。

　　做到以上各點，你會發(fā)現(xiàn)你的企業(yè)已經(jīng)形成了一個良好的安全文化。