文档介绍:集团董事会办公室梁学慧提供信息安全小故事温水煮青蛙:青蛙能逃离沸水,却会死于温水文火如果将青蛙放在很烫的热水里,青蛙会马上感受到高温并跳出来。但要是将青蛙放在温水中,青蛙就不会有太激烈的反应,水温逐渐升高,等到青蛙意识到危险的时候,它已经没有力气跳出去了。这个故事告诉我们,身处危险之中却浑然不知,是非常可怕的事情。对企业来说,造成危机的许多诱因可能潜伏在日常的经营管理当中,如果麻痹大意,缺乏危机意识和足够重视,导致小事情带来“连锁反应”、“滚雪球效应”、“恶性循环”,最终将会演变成摧毁企业的危机。信息安全需要居安思危,通过风险评估,及时发现隐患和威胁,早作预防,并且养成良好的安全意识和操作习惯,避免变成“温水中的青蛙”。死狗原理:没人会去踢一只死狗“没人会去踢一只死狗”是一句处事名言,每当名人、政要或是某人平步青云而遭受非议甚至恶意诽谤时,都会有人用这句话来劝解或宽慰。不合理的批评往往是一种被掩饰的赞美,只有一事无成的小人物才不会引起别人的注意,更不会遭到严厉的批评。对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作,也就应该重点放在高价值的信息资产上。什么是高价值信息资产?风险评估告诉我们就是业务活动所依赖的信息系统,无论软件、硬件、数据、服务还是人。如果想“无为而治”,除非所见的只是毫无价值的“死狗”。冰山理论:露出水面的仅仅是冰山一角一座浮于海面的冰山,露在水面以上的只是其十分之一,而另外90%是看不见的。当一艘巨轮撞到冰山的时候,很可能会遭受和泰坦尼克一样的厄运。无独有偶,国际航空界也有一个著名的海恩法则:“每一起严重的航空事故背后,必然有近30起轻微事故和300多起未遂事故先兆,以及10000多起事故隐患”,要想消除一起严重的事故,就必须像发现并回避藏在水面以下的冰山那样,把这10000多起事故隐患控制住并消灭在萌芽状态。真正可怕的,并不是眼前发生的事故,而是更多潜伏未知的隐患和威胁。信息安全工作的重点,不能仅仅放在对各种事故的应急处理上,更应该及早发现隐患和威胁,积极预防,防患于未然。当然,面对已经暴露出的问题,也应该深入分析和彻底解决,真正做到“三不放过”:当事人未受到教育不放过;根本原因未查明不放过;整改措施为落实不放过。破窗效应:破窗会带来更大的麻烦建筑物的一扇窗户破了,如果无人理会,很快这里其他的窗户也会破掉。破窗似乎在告诉大家:主人并不在意窗户是否破损,这里的管理混乱,人们被动消极。其实,任何一种不良现象的存在都在传递一种信息,这种信息会导致不良现象的无限扩展,如果对那些看来是偶然的、个别的、轻微的过错不闻不问、反应迟钝或纠正不力,就会纵容更多人去“打烂更多的窗户玻璃”,要知道,“千里之堤,溃于蚁穴”。相反有个所谓的“热炉效应”:用炉火取暖,谁都不敢去碰炉子一下。公司的管理制度是破窗呢?还是热炉?规定要有门禁,可屡屡发现陌生人尾随进入;规定要安装发病毒软件,可总有人电脑中病毒;规定口令要安全,但弱口令、空口令比比皆是。如果大家都熟视无睹,如果领导也不以为然,也许有一天,您的重要财务就会失窃,您的网络就会瘫痪,您的敏感信息就会泄露。执行不到位,再好的制度和措施也都是一纸空文。墨菲定律:掉落的面包总是涂有黄油的一面着地当你用早餐时,一片涂了黄油的面包突然从手上掉下,它将如何着地?是的,一定是抹了黄油的那面着地。