现代社会飞速发展的信息技术改变了员工的工作习惯，提升了工作效率，使员工对计算机的依赖更为强烈，但在享受信息化技术带来各种便利的同时，如何确保信息安全逐渐成为一个企业必须面对的事实。
    国际标准化组织（ISO）定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。
    有的企业足够重视信息安全，会投入大量精力、财力加强企业信息安全体系的建设：如组建安全的网络架构，购买企业级杀毒软件，定时对设备进行全面检查，引进先进的办公系统，还包括组织员工进行相关方面的业务培训，让他们掌握更多更全面的应用操作技能。然而在企业运营中影响整个信息安全体系的最关键因素——“人”！无论多么精良的设备，多么严谨的系统与体系，如果员工的信息安全意识不足，在他们工作形成习惯之后，往往将无关紧要的东西无意“泄露”出去，会给企业带来不可估量的损失。比如：办公电脑随意打开陌生人的邮件；随意将账号、密码写在便签上，贴在电脑显示器旁；不设置锁屏密码,离开电脑屏幕不锁屏；使用容易猜测的弱口令或者压根不设口令等。
    造成员工安全意识淡薄原因可以简要归纳为以下几类：第一类，确实不知道。由于公司没有明确的制度要求员工如何规范操作，所以才导致了员工的一些错误行为；第二类，知道但不重视。员工都知道应该怎么做，可是按要求做和没按要求做没有本质区别，最终为了方便自己就没按规范要求执行；第三类，存在侥幸心理，认为信息安全方面的事故很抽象，不会发生在自己头上，真的不小心信息泄露也很难追查。员工经常会有这种想法，我没那么倒霉被发现，正是基于此才导致了错误行为的发生。
    信息安全是企业信息化建设的基石，是信息网络正常运行、发挥效能的保障，对于企业而言提升员工信息安全意识重要性日益凸显。针对第一类，首先企业应该制定符合自身特点的员工手册，并从员工入职开始直至离职的整个过程中，都需要向员工不断的传递倡导、要求做什么，禁止怎么做，并且是通过有效的途径来传递，以确保员工在正确的获取这些信息后运用到实际工作中。针对第二类，应该要建立与企业发展相适应的信息安全奖惩制度，那种不痛不痒的奖惩措施形同虚设，总之要对员工有所触动。针对第三类，可以采取两个方面措施，一方面要让员工知道由于缺乏安全意识的错误行为所导致的严重后果有哪些、有多严重，另一方面，可以通过提高技术手段的控制来消除员工的侥幸心理。
    实际上，企业内部从管理层、到技术人员、再到所有普通员工都需要建立信息安全意识，但是由于所处岗位不一、技术能力不同，每个人的信息安全意识教育侧重点也有所不同：
    1、管理层：重点掌握和了解企业信息安全的整体策略及目标、信息安全系统的构成，以及安全管理机构的建立和管理规范的制定。
    2、技术人员：重点理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用。
    3、普通员工：学习各种安全操作规程，培养良好安全习惯，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责。
责任重于泰山，信息安全这几个简单的字,不仅仅是企业的管理者必须承担的重担，也是每一个员工应该在心中培养的意识。（信息技术部  金永震供稿）