信息安全文化从属于企业文化，倡导良好的 就是要在组织中形成团队共同的态度、认识、和价值观，形成规范的思维和行为模式，最终转化为行动，实现组织信息安全目标。人的这种对安全价值的认识以及使自己的一举一动符合安全的行为规范的表现，正是所谓的“安全修养”。如果一个企业建立起浓厚的安全文化环境，不论决策层、管理层还是一般职工，都会在安全文化的约束下规范自己的行为，安全文化就像一支看不见的手，凡是脱离安全生产的行为都会被这之手拉回到安全生产的轨道上来。

引起信息安全时间的直接原因一般可分为两大类，即物的不安全状态和人的不安全行为。在信息安全中，物的不安全状态是指信息系统本身的脆弱性，如数据的易失性、网络硬件的不稳定性、操作系统的漏洞等。物的不安全状态是安全事件的根源，外部或内部的各种威胁利用了因系统脆弱性而产生的风险。如果系统没有脆弱性，也就没有风险了。因此，信息安全工作首先要了解物的不安全状态问题，这主要是依靠技术手段来实现，如冗余的电源，主机故障弱化系统，操作系统漏洞补丁包、网络防火墙、反病毒软件等。

控制、改善认得不安全行为要采用管理的方法，即用管理的强制手段约束呗管理者的个性行为，使其符合管理这的需要。企业信息安全管理是通过制定法律、规范、制度、标准等，约束员工的不安全行为，同时通过宣传教育等手段，使员工学会安全的行为，以保证组织信息资产目标的实现。管理手段虽然有一定的效果，但是管理的有效性很大程度上依赖于对被管理者的监督和反馈，对于信息安全管理尤其是这样。被管理者对信息安全政策、规章制度的漠视或抵制，必然会体现在他的不安全行为上，然而不安全行为并不一定都会导致事故的发生，相反可能会给他带来相应的利益或好处，例如省事、省力等，这会进一步促使他的不安全行为的产生，并可能“传染”给同事。在信息安全管理上，时时、事事、处处监督企业每一位员工遵章守纪，是一件困难的事情，甚至是不可能的事，这就必然带来安全管理上的漏洞。安全文化概念的应运而生，正是为了弥补信息安全管理手段的不足。

安全文化之所以能够弥补信息安全管理的不足，是因为安全文化注重人的观念、道德、伦理、态度、情感、品行、心理等深层次的人文因素，通过教育、宣传、奖惩、创建群体氛围等手段，不断提高企业员工的安全修养，改进其安全意识和行为，从而使员工从不得不服从管理制度的被动执行状态，转变成主动的自觉地按安全要求采取行动，即从“要我遵章守纪”转变成“我要遵章守纪”。

在企业中开展信息文化建设，不应该把信息安全文化看作特立独行的事务，没有必要成立单独的部门和开展独立的活动，而是应该在企业的总体理念、形象识别、工作目标和规划、岗位责任制制定、生产过程控制及监督反馈等各个方面融合进安全文化的内容。在企业中也许看不到听不到“安全文化”的词语，但在各项工作中处处、事事体现安全文化，这才是安全文化建设的实质。

当然，由于安全文化对人的影响是深层次的，因此不可能在段时间内产生明显的、根本的效果，安全文化的推行是一个循序渐进的过程，必须建立在完善的安全技术措施和良好的安全管理基础上。

总之，对人的管理包括法律、法规与安全政策的约束，安全指南的帮助，安全意识的提高，安全技能的培训，人力资源管理措施，以及企业文化熏陶，这些是成功的信息安全体系的基础，我们把信息安全中对人的有效管理称为“人力防火墙”。从一个组织生产、管理、传播及保护信息的各个环节来看，都是人在起决定性作用，应当把这个幕后主角“人”纳入信息安全的定义中去，把建立“人力防火墙”看作是实现有效信息安全的基础。

“人力防火墙”并不是要代替传统的技术手段，它只是一种人的原有价值的回归。通过建立“人力防火墙”，不仅建立起一套有效的管理体系，而且形成“信息安全，人人有责”的企业文化氛围，从而使员工成为企业信息安全的一道“最可靠防线”，实现组织信息系统的长治久安。

(责任编辑：)