如果說數據是企業賴以生存和發展的血液。那么員工就是企業的生命支柱。但員工又是企業發展鏈條中最脆弱的一環。有時，員工只要一個小小的錯誤，就有可能給企業帶來一場災難。

安全計劃與落實

企業應當教育雇員防止網絡攻擊，但一個設計健全的安全計劃不應當僅重視網絡設備、網絡軟件、服務器等到的安全，還應當根據不同的工作職責制定相應的安全策略并加強其實施。例如，企業應當告知并監督人力資源部的人員正確管理可能位于多個位置的職員檔案。

信任一個雇員對要害或敏感信息的訪問需要冒一定的風險，這有點兒類似于一場賭博。因為雇員是活生生的人，人有百種。其實，企業的IT管理人員可以公司內每個部門制定獨立的安全計劃和安全策略，但其是否得到遵守似乎更值得關注。

企業不應當將最有價值的或易受攻擊或損害的資源交給一個雇員，而應當在可能的條件下分配對信息資源的訪問權，并要加強監督，也就是要實現一定程度的權限分化。加強安全監督和安全審核并不是不信任員工，而是幫助發現信息管理中的漏洞，并進而幫助彌補漏洞。

不同的雇員在不同程度上影響數據安全

企業應當知道，不同的人其潛在的安全威脅是不同的，因此IT安全管理人員應當衡量每個員工的安全風險。因為每個員工都有可能犯錯誤。

太多的企業員工并沒有得到如何保護公司數據的安全教育，有的甚至并不清楚自己的安全職責，并且不能有效地避免和管理風險。例如，企業如果不培訓員工如何安全地使用電子郵件，如何正確地使用即時通信工具，就不應當對員工竟然不能識別垃圾郵件、釣魚郵件而感到吃驚。

這里的員工不限于普通的職員，還應當包括IT工作人員和高級主管人員等，無論誰都應當清楚自己的安全責任，并為自己的行為負責。

有關的安全專家指出，內部人員和外部人員的區別不再是絕對清晰的。公司應當注意合約人、廠商、合伙公司、供應商等都可能訪問敏感的公司數據，不管它們是偶然為之還是故意這樣做。

員工在對待安全問題時，是否有全局的觀點至關重要。有些員工并不是從公司的安全角度而是從影響其工作、影響其責任水平的角度來對待安全問題。企業需慎重地對待，要使員工樹立全局的安全觀念。

培訓要講究實效

也許沒有任何員工愿意花費時間參加冗長的安全培訓，但每天花費10分鐘的時間來學習安全知識也許是較為有趣的事情。企業應當將安全意識納入到細節之中。舉個簡單的例子，企業可以制作這樣的安全提示“數據是企業的敏感信息，”“客戶信息僅限于員工內部知道，”“謹防網絡欺詐”等，可將其作為屏幕保護程序或開門時的語音提示。形式的多樣性和趣味性很重要。

有一些公司將年度的安全培訓看得很重要，但卻忽視了讓其效果深入到日常的企業文化中去。也可以這樣認為企業并沒有將安全意識融合到日常工作中。應當想辦法做到這一點。在保障安全性上，這可能要比購買一個昂貴的防火墻更為直接有效。

避免常見的錯誤

◆許多單位并沒有履行強健的口令使用方法，有的單位仍盛行口令共享。還有的將口令粘貼在顯示器的某個位置。

◆對垃圾郵件和釣魚郵件掉以輕心，應當教育員工正確使用電子郵件等消息系統。

◆避免訪問不安全的站點，防止惡意軟件和病毒。

◆不要忽視利用操作系統的訪問控制功能和審核機制，如權限的設置和文件共享控制。

◆不要用移動媒體存儲企業的機密資料，更不能將其攜帶到公司外部。

◆員工的桌面沒有安裝或啟用防火墻、殺毒軟件等防護措施，有的員工關閉了安全軟件的及時升級功能。要檢查是否有些員工為了提高性能或速度，關閉了安全防護機制。

◆在電子郵件中，不要打開可執行的附件，不管是誰發送的郵件都應如此。

◆避免使用未獲得安全確認的網絡連接，僅使用公司許可的無線訪問。

◆沒有建立企業的安全文化，沒有嚴格的獎懲制度。

企業應當對照檢查這些錯誤清單，顯然上述的列示并不全面，那么筆者就將這些當作拋磚引玉吧。