1、首先政府应加强立法,保护个人隐私安全。
面对技术进步以及信息呈几何级数增长,一方面,立法部门需要使法律更加具体和细化,其反应机制也应该越来越快,为监管部门提供及时有效的监管依据;另一方面,需要借鉴他国立法经验,以及各国政府之间的合作,共同保护信息安全。
2、政府监管紧跟技术发展。技术日新月异,政府监管的步伐不可能快过技术的发展,但如果某款软件出问题,相关部门应该迅速介入,然后依法对其进行调查、处罚。美国政府也对街景等应用进行调查,限制谷歌收集更多数据以制衡谷歌。
然后是企业,企业在信息安全建设方面需从以下三点入手; 第一点,领导的重视。可以说,任何一种新事物刚出现的时候都可能遭到人们的不理解或反对,信息安全管理也是这样。企业部署信息安全系统,需要每个员工进行配合,日常工作中会增加一些操作,当然会有人表示不接受。难道这样就不进行下去了吗?当然不是。这时就需要企业领导的支持,领导要明白,员工一般只会考虑自己的业务是否得到发展,是否能拿到更多的报酬,而不会从整体上对公司的业务、安全、长期发展等等进行思考。如果领导自己对公司的安全都不关心不重视,那就更加不用期望下面的人会自动尽心尽力保护好公司资产。
另外有的领导觉得信息安全只花钱不赚钱,的确安全这东西并不能直接创造利润,但是它能保护公司已有资产不受损害,同时安全也属于企业品牌的一部分,能够为企业吸引更多的潜在订单。因此领导要重视信息安全,保证信息安全建设预算,并全力支持安全项目的推动。
第二点,挖掘自身的需求。企业要建设信息安全系统,首先必须了解自身的安全需求。很多企业并不注意评估自身的安全现状,挖掘自身的需求,而是过度依赖安全厂商的评价。比如有的厂商大肆鼓吹加密就是一切,企业只要加密就可以从根本上解决问题,于是许多企业就只部署加密,结果依然发生泄密事件,还无法追查事件事件发生的原因。企业在信息安全建设要有主动意识,知己知彼,择优而取。不求最贵,不求最火,但求最合适。
第三点,安全培训。员工的安全意识、企业的安全文化不是一天两天就能建立起来的,需要企业进行长期的培训。有的企业作信息安全培训,仅仅是开几次会,领导发发言,强调强调安全的重要性,这样是远远不够的。心理学家研究指出,一个习惯需要坚持21天才能形成。当然企业不能连续21天对员工开会培训,那样员工无法接受。企业在安全培训这件事情上必然要有足够的耐心,每隔一段时间培训一次,而且内容形式还要变换花样,这样才能让员工逐渐地接受,安全意识与习惯逐渐形成,企业安全氛围遂水到渠成。
|