近日，知名(míng)研究机构Gartner发布的2024年网络安(ān)全趋势报告中(zhōng)，特别强调了“实施安(ān)全行为(wèi)与文(wén)化计划以降低人为(wèi)风险”。安(ān)全行为(wèi)与文(wén)化建设首次入选Gartner年度安(ān)全趋势榜单，凸显了网络安(ān)全领域的新(xīn)焦点。据统计，绝大多(duō)数的网络攻击都利用(yòng)了“人的漏洞”，2023年发生的多(duō)次重大安(ān)全事件均是通过社交工(gōng)程攻击实现的。Gartner的安(ān)全行为(wèi)调查显示，高达69%的受访者在过去的一年内曾经故意绕过公(gōng)司的安(ān)全机制。

随着生成式AI技(jì )术的兴起，政企面临着更加严峻的安(ān)全挑战。传统的网络安(ān)全意识教育已无法有(yǒu)效地减少员工(gōng)行为(wèi)导致的安(ān)全事件。因此，新(xīn)兴的人为(wèi)因素风险管理(lǐ)开始从提高意识转向促进行为(wèi)改变，标志(zhì)着安(ān)全意识进入了2.0时代。

一、我国(guó)对网络安(ān)全需求凸显

因此，加强网络安(ān)全管理(lǐ)，特别是人为(wèi)因素的管理(lǐ)，显得尤为(wèi)重要。

二、人为(wèi)因素风险管理(lǐ)存在诸多(duō)挑战

新(xīn)兴的人为(wèi)因素风险管理(lǐ)旨在从提高意识转向促进行为(wèi)改变，以保障网络安(ān)全。然而，这一过程中(zhōng)面临着诸多(duō)挑战。

跨部门沟通难：

不同部门间常因职责划分(fēn)、信息壁垒或优先级差异导致沟通障碍，影响安(ān)全策略的有(yǒu)效执行与信息共享，需建立跨部门协作(zuò)机制，促进无缝沟通。

风险评估人员专业能(néng)力不足：

部分(fēn)风险评估人员缺乏最新(xīn)安(ān)全技(jì )术和威胁情报知识，难以准确识别潜在风险，需加强专业培训，提升团队整体(tǐ)专业水平。

人员操作(zuò)失误：

日常操作(zuò)中(zhōng)，员工(gōng)可(kě)能(néng)因疏忽或误解安(ān)全规程而导致安(ān)全事件，需强化操作(zuò)规范培训，建立错误预防机制。

人员配置不足：

随着业务(wù)扩展，安(ān)全团队可(kě)能(néng)面临人员短缺，难以应对日益增长(cháng)的安(ān)全需求，需合理(lǐ)规划人力资源，确保关键岗位人员充足。

人员监控能(néng)力不足：

监控系统可(kě)能(néng)因技(jì )术限制或策略不当而无法全面捕捉异常行为(wèi)，需升级监控技(jì )术，优化监控策略，确保及时发现潜在威胁。

人员疲劳和疏忽：

长(cháng)时间高强度工(gōng)作(zuò)易导致员工(gōng)疲劳，影响判断力和注意力，增加安(ān)全漏洞，需合理(lǐ)安(ān)排工(gōng)作(zuò)时间，实施轮班制度，减轻员工(gōng)压力。

人员响应速度慢：

面对安(ān)全事件，若响应不及时可(kě)能(néng)扩大损失，需建立快速响应机制，明确职责分(fēn)工(gōng)，提升团队应急处理(lǐ)能(néng)力。

人员沟通不畅：

团队内部沟通不畅会阻碍信息共享和问题解决，需加强团队建设，提升沟通技(jì )巧，营造开放、透明的沟通氛围。

人员缺乏总结和改进意识：

忽视经验教训总结，难以持续改进安(ān)全管理(lǐ)，需建立定期回顾机制，鼓励员工(gōng)提出改进建议，持续优化安(ān)全流程。

人员培训不足：

员工(gōng)未接受充分(fēn)的安(ān)全培训，难以有(yǒu)效应对安(ān)全挑战，需制定全面培训计划，涵盖安(ān)全意识、操作(zuò)技(jì )能(néng)等多(duō)个方面，确保全员参与。

三、全过程风险管控保障人为(wèi)因素安(ān)全管理(lǐ)

针对上述挑战，道普信息风险管控专家提出了具(jù)体(tǐ)的解决方案，旨在保障人员因素的安(ān)全，包括但不限于强化跨部门协作(zuò)机制、提升风险评估人员的专业水平、加强员工(gōng)的安(ān)全意识教育等。

建立跨部门协作(zuò)机制：明确沟通渠道和职责，定期召开跨部门会议，促进信息共享和协同工(gōng)作(zuò)。

加强风险评估人员培训：提升其专业技(jì )能(néng)和知识储备，确保评估结果的准确性和有(yǒu)效性。

制定操作(zuò)规范与流程：加强人员培训和监督，减少操作(zuò)失误的发生。

合理(lǐ)配置人力资源：根据工(gōng)作(zuò)需求增加关键岗位人员，确保安(ān)全工(gōng)作(zuò)的有(yǒu)效开展。

提升监控技(jì )术手段：采用(yòng)自动化监控工(gōng)具(jù)，结合人工(gōng)巡检，确保全面监控和及时响应。

合理(lǐ)安(ān)排工(gōng)作(zuò)与休息时间：实施轮班制度，关注员工(gōng)心理(lǐ)健康，减少疲劳和疏忽的发生。

建立快速响应机制：明确响应流程和责任人，加强应急演练，提升人员应急响应能(néng)力。

优化内部沟通渠道：采用(yòng)多(duō)种沟通方式（如邮件、即时通讯工(gōng)具(jù)、会议等），确保信息畅通无阻。

建立总结和改进机制：鼓励员工(gōng)定期总结工(gōng)作(zuò)经验，提出改进建议，并将优秀实践纳入日常工(gōng)作(zuò)流程。

加强人员培训：制定系统的培训计划，涵盖安(ān)全知识、技(jì )能(néng)提升和新(xīn)技(jì )术应用(yòng)等方面，确保人员能(néng)力持续提升。

在当前网络安(ān)全态势下，人为(wèi)因素管理(lǐ)的重要性日益凸显。无论是企业还是政府部门，都需要加大对人为(wèi)因素安(ān)全管理(lǐ)的投入，通过综合性的策略和技(jì )术手段来降低人为(wèi)风险，确保信息资产(chǎn)的安(ān)全。为(wèi)因素安(ān)全管理(lǐ)不仅关系到企业的健康发展，还关乎国(guó)家的安(ān)全稳定。未来，随着技(jì )术的发展和社会的进步，人为(wèi)因素的安(ān)全管理(lǐ)将会成为(wèi)网络安(ān)全领域的核心议题之一，对于促进各行业的可(kě)持续发展具(jù)有(yǒu)重要意义。