信息安全问题点 被动 主动_信息安全　从被动向主动转变

　　企业想只通过一些临时措施来塑造好的安全与隐私能力是不可能的，必须要从被动的状态向主动的状态转变。 　　 　　展望2009年，在信息安全领域，有哪些发展变化是值得我们关注呢？
　　首先，互联网攻击与安全保护之间的对抗将变得更为剧烈。在2008年，企业在互联网技术上已经有了明显的进步，比如部署了内容过滤器、实施了网站认证、加强了浏览器安全以及网络安全服务等。此外，企业也在其他很多技术领域实现了飞跃，比如保护无线设备、确保VPN远程接入的安全以及发展防止入侵或检测未授权设备的工具等。但随着金融危机的爆发，经济下滑，成本控制成为了企业应对危机的主要措施之一，由此可能会导致企业的安全支出减少，并因此成为恶意网络攻击的薄弱环节。
　　此外，隐私保护尚有发展空间。2008年的调查结果显示，企业在隐私保护方面的进展很小，71%的受访者表示他们的企业没有一个准确的员工以及客户的资料的详细目录。近年来，国际上已经出现过几起金融机构储户资料被盗的案例，这给金融机构与储户均带来了巨大的损失。同时，这些也都反应出，隐私保护仍有很大的发展空间。我们相信，加入由第三方评估的检查隐私标准的评级或通过诸如内部审计的管理机制进行内部隐私评估，将令很多企业从中受益。
　　考虑到信息安全领域的现状及未来所面临的挑战，在2009年，我们对企业如何继续提高信息安全水平给出一些建议。企业想只通过一些临时措施来塑造好的安全与隐私能力是不可能的，必须要从被动的状态向主动的状态转变――通过提高创新、分享及与使用者的合作几方面来提高。同时，企业需要关注更具战略性的方法，并协调好以下一些关键措施。
　　雇用正确的人才 想要更加主动，就需要更具前瞻性的能力与领导力。如果企业还没有设立CISO或CSO的职位，现在可以考虑聘请相关人员，积极与业务及IT决策人一起工作，共同致力于企业的信息安全。
　　在全公司更深入地强调安全意识 带来良好安全工作成果的最有效动力可能就是安全意识。虽然很多受访者相信相当比例的用户符合其信息安全政策，但不是所有的公司都进行了相关的检测。事实上，若设立专人负责员工的安全意识并要求员工完成隐私实践方面的培训，大多数企业会从中受益。在清晰地定义好企业的安全政策后，需要将安全意识与隐私议题发展成为主要的、深入人心的企业目标之一，并做到持之以恒。
　　安全考虑事不宜迟 虽然企业在技术上的投入提高了安全保护的应用软件、数据与网络，但风险仍然存在，尤其是无人顾及的领域。在公司发展的过程中，尽早地将安全问题纳入日程是明智之举，这样就可以在发展的早期将风险考虑进来，比在将来不得不重新设计或重新配置一个成熟的、已执行了的系统要简单得多。
　　加强安全事件反应计划 为了降低安全事故对企业的冲击，企业应该确保一套应对安全事件的综合方法，并由一个由多方面人才组成的团队实施；具有应对安全事件的连贯反应流程；回顾安全政策并使之与安全事件反应流程相吻合；确保将企业的服务提供商纳入这一计划，培训相关的人员并对相应程序进行测试。
　　综上所述，信息安全与隐私保护日益彰显其重要性。企业在加强信息安全的过程中，一方面要密切关注国际最新的趋势与动态，了解与国际先进水平的差距与不足；另一方面要从人员、流程、技术、观念、战略与管理等方面多管齐下，从而做到防患于未然。