中国企业员工信息安全意识调查报告
调查活动主办方:北京谷安天下科技有限公司
调查活动协办方:安帮网、华安信达论坛、ITIL 先锋论坛 调查报告撰写: 北京谷安天下科技有限公司
第一章 调查活动介绍
一 调查活动背景
2011年底发生的CSDN 、天涯、人人网等用户信息泄密事件的余温还未消退,2012年3.15晚会中披露的浦发银行、光大银行、工商银行、淘宝、京东商城等知名企业员工泄密事件再次让人们震惊! 让人们在为自己的个人信息被泄露而恐慌,企业深受名誉损害、经济损失困扰的同时,更应该看到与重视引发这些事件的根源——个人或者企业员工薄弱的信息安全意识。
作为企业信息安全保障第一道防线——员工信息安全意识,它的薄弱会给企业带来无法挽回的名誉损害与经济损失。企业提高员工的信息安全意识工作显得刻不容缓,企业开展员工信息安全意识培养工作之前,了解我国企业员工信息安全意识现状,对实施具体工作会有很大帮助与重要意义,因此,北京谷安天下科技有限公司特开展《2011年度中国企业员工信息安全意识调查》活动。
本次调查活动以问卷调查和网络在线调查为基本形式,问卷题目范围涉及当前中国企业员工信息安全意识认知及相关应用情况。统计结果与2010年度的统计结果做了对比,希望2011年调查问卷的统计结果以及与2010年度调查对比结果能够为中国各企业提供详实可靠的参考数据,并通过对调查结果的推广,增强中国企业员工对信息安全意识的重视,提高中国企业员工信息安全意识水平,奠定好企业提升安全能力的基础。
基于取得的有效调查数据样本,报告主要对2011年中国企业员工信息安全意识状况进行解读,包括企业员工个人及企业物品保护意识、物理安全意识、数据安全意识、口令安全意识、社会工程意识、终端安全意识、上网安全意识、外包安全意识、信息安全教育等。
本次调查活动网络在线调查部分,由信息安全专业网络社区安帮网(www.sec580.com)、信息安全专业论坛华安信达(http://bbs.cisps.org/)和IT 服务专业论坛ITIL 先锋论坛(http://www.itilxf.com/forum.php)联合主办。
二 调查方法说明
(一) 调查方法
本次调查采用问卷调查和网络在线调查两种方式。其中本报告中相关数据成果主要来自这两种调查方式的有效问卷。
(二) 在线调查方法说明
1. 调查时间
本次调查时间为:2011年12
月12日至12月30日。
2. 样本分布
调查的样本目标是中国大陆(除港、澳、台三地)公民,共得到有效数据样本1408个。
第1页 2011年度中国企业员工信息安全意识调查报告
三 报告概述及摘要
调查问卷题目设计与2010年度的调查问卷题目相比,保留了个人及企业物品保护意识、物理安全意识、数据安全意识、社会工程意识、终端安全意识、上网安全意识、信息安全教育几方面的题目,在个人信息保护意识方面的调查题目设计侧重于口令安全方面的调查,同时新增了外包安全方面的调查题目。并且与2012年度调查问卷相比,题目设计根据信息安全发展现状做了新的调整。
20大 显著问题
1、有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
2、拥有胸卡的受访者中,接近半数的人曾经外借过胸卡。与2010年的调查数据相比,经常外借胸卡的比例有所上升。 3、在去陌生环境出差时, 51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图,48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升,但情况依然不算乐观。 4、36.6%的受访者会在办公桌面放密级资料。
5、52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看。
6、37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。
7、选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
8、仅有30%受访者对敏感数据会进行分类和加密。 9、65%的受访者电脑中数据不做备份或者不定期做备份。 10、接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。
11、接近50%的受访者选择不安全的设置电脑屏保、密码方式。
12、有33%的受访者会在电脑桌面存放密级资料。 13、39.2%的受访者暂时离开电脑不会锁屏。
14、当收到熟悉发件人发送的自动播放flash 动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网
通过对有效调查问卷的分析
与统计,受访者在希望公司对自己做信息安全意识培养的认知、对违反所在企业信息安全制度的认知、签订保密协议、针对第三方工作人员密码的管理、接受信息安全培训情况、网银使用、关闭U 盘自动运行、安装杀毒软件并定期升级、在公共电脑存放文件并做相关访问控制、工作资料的保管、U 盘外借方面做的相对较好;
而受访者的工作胸卡保管、
个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑屏保与密码设置、电脑桌面安全、暂时离开电脑、熟悉发件人发的链接和动画处理方式、网页弹出的链接处理、对公司信息安全相关规定的了解、遇到信息安全事件的处理方式等相关安全意识相对较差。
页或点击网页链接。
15、41.1%的受访者会点击网页上吸引自己的链接。 16、47.4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过。
17、64.2%的受访者不知道公司的信息安全策略的相关规定。 18、52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理。
19、46.7%的受访者不知道自己接触信息的密级程度。 20、49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。
第2页 2011年度中国企业员工信息安全意识调查报告
第二章 个人及公司物品保管意识
一 胸卡
企业看重胸卡作为企业形象统一、
员工身份识别所发挥的重要作用,但信息窃取者却将员工胸卡作为其窃取信息的重要工具。
调查结果显示,所有受访者中,75.7%的受访者有胸卡;而拥有胸卡的受访者中,曾经借过胸卡给同事的比重为33.2%,经常外借胸卡的比重占9.1%,57.7%的受访者从来没有外借过自己的胸卡。
二 物品保管意识
抽屉作为企业员工日常办公必备的办公用品,里面极大可能放置重要的资料,其安全的重要性可想而知,但实际上,您是如何管理您抽屉里的资料的呢?
调查结果显示,所有受访者当中,56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为,有43.2%的受访者采用锁抽屉并随身携带钥匙的抽屉物品保管安全行为。
图表:受访者保管工作胸卡情况统计
与2010年调查结果相比,拥有胸卡的受访者中,经常外借胸卡的比重有所上升,曾经外借胸卡但不经常和从来不外借胸卡的比例都有所下降。
与2010年调查结果相比,受访者采取正确的抽屉物品保管安全行为的比例上升了11.1%。
图表:受访者抽屉中物品保管情况统计
图表:
2011年与2010年受访者保管工作胸卡情况统计对比
图表:2011年与2010年受访者抽屉中物品保管情况统计对比
第3页 2011年度中国企业员工信息安全意识调查报告
第三章 物理环境安全意识
一 出差地点紧急通道
办公地点紧急通道的位置,关系着紧急状况发生时员工最为重
要的人生安全,多数员工都知道自己办公地点的紧急通道的位置,但是当您因工出差到陌生环境时,您还会主动了解自己工作或居住场所的紧急通道位置或楼层结构等信息吗?
调查结果显示,所有受访者中,在去陌生环境出差的情况下,有48.6%
的受访者会去主动了解自己工作或居住场所的紧急通道位置或楼层结构图,51.4%的受访者都选择不会主动了解。
图表:受访者出差地点紧急通道了解情况统计
二 办公桌面安全
很多企业员工在自己桌面上会放置重要快递;会有记着自己工作的纸片,上面可能有随手记下的重要信息,还会有工作计划与工
作内容……但这些,其实都属于受保护的信息。
调查结果显示,所有受访者中,会在办公桌面放密级资料的人占到36.6%,而且有10.3%的人不会定期清理,是很长时间才会清理一次办公桌面的密级资料。
图表:受访者办公桌面安全情况统计
三 打印机安全
打印机打印的资料,很多都属于重要信息,您打印资料时会一直等在打印机旁吗?或者您打印好的资料都及时拿走了吗?
调查结果显示,所有受访者中,有52.9%的受访者表示自己所在企业的打印机附近有合同、通知等资料不及时回收,可以让人任意看。
图表:受访者打印机安全情况统计
四 尾随
您是否知道企业外部人员尾随您进入办公区域有可能带来的恶果?您有留意过是否有外部人员尾随您进入到办公区域吗?
调查结果显示,所有受访者中,37.3%的人选择会直接或者询问下就让尾随的外部人员直接进入;57.1%的人选择让其按照登记流程进入。
图表:受访者对尾随人员认知情况统计
第4页 2011年度中国企业员工信息安全意识调查报告
第四章 口令/密码安全
您设置的密码是纯数字、简单几位的字母+数字?……您是否知道您设置的密码过于简单、位数过少、经常不更换密码都会给信息窃取者留下巨大的可乘之机?
一 口令/密码设置规则
调查结果显示,所有受访者中,选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%;有24.8%的人选择设置口令/密码是数字+字母+符号;还有35.1%的人选择数字+字母,而采用纯数字这种最易攻破的口令/密码的人占了14.7%。
图表:受访者口令/密码设置规则情况统计
二 口令/密码设置位数
调查结果显示,所有受访者中,平时为使用的电脑终端设置密码的受访者占97.7%,有2.3%的受访者不设密码。平时使用电脑终端设置密码的受访者中,密码位数设置在9-10位的所占比重最大,为27.8%,以下依次为密码7-8位占27.2%,11-15位占22.3%,6位占14.3%和15位以上占8.4%。
三 口令/密码更换
定期更换密码是保护密码的有效途径,更换密码时间至少为3个月一次。
调查结果显示,所有受访者中,电脑没有设置密码的人所占比例为10.1%;电脑设置密码的人当中,35.2%的受访者半年以上更换一次密码,或者从不更换密码。21.6%的受访者3-6个月更换一次密码;23.0%的受访者1-3个月更换一次密码;仅有10.1%的受访者选择1或1个月以内更换密码。
图表:受访者口令/密码设置位数情况统计
图表:受访者口令/密码更换情况统计
与2010年调查结果对比,口令/密码设置位数在7-8位的人数所占比例有所下降,选择11-15位所占比例持平,其他结果所占比例都有所上升。
与2010年调查结果对比, 选择半年以上或从不更换电脑密码人所占比例有所下降,其他选项结果都有所上升。
图表:2011年与2010年受访者口令/密码设置位数情况统计对比 图表:2011年与2010年受访者口令/密码更换情况统计对比
第5页 2011年度中国企业员工信息安全意识调查报告
第五章
数据安全意识
一 敏感数据分类与加密
您是否知道自己企业的敏感数据有哪些?是否知道自己接触到的敏感信息应该如何保护?
调查结果显示,所有受访者中,接近半数的
人选择对敏感数据分类不加密,占到46.0%的比例;有19%的人选择对敏感数据不分类不加密;有30.0%的对敏感数据既分类又加密;5.0%的人选择对敏感数据不分类,但是都会加密。
二 工作资料
对于自己每天都会接触的工作资料,对于您而言可能很平常,可您是否知道,您的工作资料对于别人而言却极为“不平常”?那么哪些工作资料该保护,如何保护?
调查结果显示,所有受访者中,如果遇到关系好的同事要资料,其中13.0%的受访者是直接给,50.7%的受访者会自己问清楚用途再决定是否给;30.4%的受访者会请示领导后再决定是否给;5.9%的受访者会直接拒绝。
图表:受访者对敏感数据分类与加密情况统计
图表:受访者工作资料保管情况统计
与2010年调查结果对比,选择既分类又加密的人数所占比例有所上升,其他不安全操作选项所占的比例都有所下降。
与2010年调查结果对比,选择请示领导再决定是否给的人数所占比例略有上升,选择直接拒绝基本持平,选择直接给和问清楚用途自己决定是否给的人所占比例都略有下降。
图表:2011年与2010年受访者对敏感数据分类
与加密情况统计
图表:2011年与2010年受访者工作资料保管情况统计
第6页 2011年度中国企业员工信息安全意识调查报告
三 移动介质外借
U 盘、移动硬盘、光盘这些移动介质方便小巧,
四 数据备份
电脑中的数据承载巨大的价值,如果丢失或被窃取、篡改,将承受巨大的时间、金钱和精神上的损失,因此电脑数据定期备份至关重要。
调查结果显示, 有35.0%比例的人会定期给电脑做备份,不做备份的比例为29.2%,不定期做备份的比例为35.8%。
为我们存储、移动数据带来了诸多便利,但是您是否知道移动介质也很容易造成病毒的感染与泛滥、泄密等恶果。
调查结果显示,平时使用U 盘的受访者中,13.8%的受访者从来不外借U 盘,而25.2%的人会不查看就直接借出;61.0%的受访者会在查看之后再借出U 盘。
图表:受访者移动介质外借情况统计
图表:受访者数据备份情况统计
与2010年调查结果对比,平时使用U 盘的受访者中,查看之后再借出U 盘的人数比例有所下降,从不外借U 盘和不查看就借出U 盘的人数所占比例都有所上升。
与2010年调查结果对比,不会做备份和不定期做备份的比例有所下降,会定期做备份的比例有所上升。
图表:2011年与2010年受访者移动介质外借情况统计
图表:2011年与2010年受访者数据备份情况统计
第7页 2011年度中国企业员工信息安全意识调查报告
五 密级资料粉碎处理
密级资料的特殊与重要性不言而喻,但是密级资料应该如何处理您是否知道?
调查结果显示,所有受访者中,接近半数的受访者表示所在单位不会马上对密级资料进行粉碎处理,表示会马上进行粉碎处理的比例占到52.4%。
图表:受访者所在企业密级资料粉碎处理情况统计
六 公共电脑管理
公共电脑上会汇集众多员工临时存储的信息,但是这些信息也会让众多员工都看到,那么使用公共电脑应该注意什么问题?
调查结果显示,所有受访者中,27.2%比例的人表示所占企业没有公共电脑。而企业有公共电脑的受访者中,不会存涉密或者受限访问的文件的比例为62.5%
,会存涉密或者受限访问的文件但做了相关访问控制措施的比例为31.1%,会存涉密或者受限访问的文件但不做相关访问控制措施的比例为6.5%。
图表:受访者所在企业公共电脑管理情况统计
第六章 终端安全意识
一 屏保及密码设置
电脑屏保与密码在保护电脑信息方面起到了重要作用,为电脑设置屏保与密码的操作也简单易行,但是您的电脑都设置了吗?
调查结果显示,所有受访者中,约有半数的受访者选择不安全的设置电脑屏保与密码的方式,没屏保没密码的比例为15.7%,没屏保有密码的比例为20.0%,有屏保没密码的比例为13.2%。
图表:受访者电脑屏保及密码设置情况统计
第8页
2011年度中国企业员工信息安全意识调查报告
二
杀毒软件及病毒库升级
随着电脑知识的普及,不安装杀毒软件的电脑已经非常少了,但是随之而来的问题是,您电脑的病毒库会定期升级吗?
调查结果显示,所有受访者中,没安装杀毒软件的占4.9%;95.1%的受访者安装了杀毒软件,定期升级病毒库的占75.4%,还有10.7%的受访者想起来才升级病毒库,9.0%的受访者不升级病毒库。
图表:受访者电脑杀毒软件及病毒库升级情况统计
三 电脑桌面清理
为了寻找方便,很多人将经常用或者临时接收的文件都保存在电脑桌面上,那您是 否知道您为自己带来便利的同时,
为信息窃密者也提供了便利?
调查结果显示,有33%的受访者会在电脑桌面存放密级资料,很长时间清理一次的比例为10%,定期清理比例为23%。
图表:受访者电脑桌面清理情况统计
四
暂时离开电脑
您每天工作期间,是否经常或者有机会暂时离开电脑,那暂时离开电脑之前您会对您的电脑锁屏吗?
调查结果显示,所有受访者中,会锁屏的占60.8%,不会锁屏的占39.2%。
图表:受访者暂时离开电脑情况统计
五 关闭U 盘自动运行
U 盘作为常用办公用品,使用率与流转率都很高。但是U 盘自动播放,病毒也会自动运行。
调查结果显示,仍有27.1%的受访者不知道如何关闭U 盘的自动运行。
图表:受访者关闭U 盘自动运行情况统计
第9页 2011年度中国企业员工信息安全意识调查报告
第七章 社会工程
一 熟悉发件人发出的自动播放附件和内嵌网页
您是否会经常收到您熟悉的朋友给您发送的含有附件、链接或者内嵌网页等的邮件,收到后,您会怎么做?
调查结果显示,所有受访者中,当收到熟悉发件人发送的自动播放flash 动画或邮件内部嵌入的网页时,14.7%的人会把动画下载下来查毒后再查看;17.9%的人会看动画,但只预览网页的大概内容;还有26.7%的人会看动画,但不会点击网页的链接;40.7%的人选择都不会看。
图表:受访者对朋友发出链接和网页点击情况统计
与2010年调查结果对比,选择都不看和把动画下载下来查看后再看的比例都有所上升,选择只看动画、不点击网页的链接和看动画,只预览网页大概的内容的比例都有所下降。
图表:2011年与2010年受访者对朋友发出链接和网页
二 信息安全相关消息的处理方式
您是否会经常接收到或者看到一些信息安全相关的知识、新闻等信息,您都是如何看待和处理这些信息的?转发朋友,自己引以为戒,还是置之不理?
调查结果显示,所有受访者中,选择看完之后会引以为戒的占44.1%,选择看完之后会与别人分享并提醒别人的占39.1%,选择就是看看,看完之后没别的举措的占16.8%。
点击情况统计对比
图表:受访者对信息安全相关消息处理方式的情况统计
第10页 2011年度中国企业员工信息安全意识调查报告
第八章 上网安全
一 网银
每年网银木马以惊人的数量在发展,给网银使用者带来巨大的经济损失。
调查结果显示,所有受访者中使用和不使用网银的比例分别为
81.8%和18.2%。
越来越多的人开始并经常使用网银,巨大的网络支付成交额对病毒作者来说有着极大的吸引力,
而使用网银的受访者中,70.7%的受访者会使用U 盾,还有29.3%的受访者在使用网银时是不使用U 盾的。
图表:受访者网银使用情况统计
图表:受访者使用网银时U 盾使用情况统计
二 弹出链接
调查结果显示,所有受访者中,当即时聊
天工具或论坛、网页弹出链接时,58.9%的受访者从不点击这些链接,而39.1%的受访者会对自己感兴趣的链接进行点击,2.0%的人会都点击。
与2010年调查结果对比,选择都点击和从不点击的人数比例都有所上升,选择感兴趣点击的比例有所下降。
图表:受访者对弹出链接点击情况统计
图表:2011年与2010年受访者对弹出链接点击情况统计
第11页 2011年度中国企业员工信息安全意识调查报告
三 恶意插件、病毒的攻击
恶意插件、病毒这些信息安全威胁因素越来越为大家熟知,但是面临病毒数目突飞猛进的增长速度,我们对恶意插件和病毒的防范依然不能让人掉以轻心。
根据对受访者是否遇到过恶意插件、病毒攻击的情况调查结果显示,从没遇到过的占33.4%,有过1-2次经历损失轻微的占44.6%,可能有过但自己不太确定的占19.2%,经常被攻击损失惨重的占2.8%。
图表:受访者受到恶意插件、病毒攻击情况统计
第九章 外包安全
一 第三方人员安全
越来越多的公司会将部分业务或者系统外包给第三方公司,不可避免的就会涉及到第三方人员的管理。良好的管理三方人员既保护企业信息,同时也是对第三方人员的保护。
调查结果显示,如果接触到公司的外包/第三方人员,会因为工作需要把密码告知为您服务的第三方人员时,64.2%的受访者选择不会直接告诉自己输入密码,6.7%的受访者选择会告诉但自己定期修改密码,12%的受访者选中会直接告诉之后不做任何措施,17.1%的受访者选择告诉后在第三方使用后自己更换密码。
图表:受访者对第三方人员密码管理情况统计
第12页 2011年度中国企业员工信息安全意识调查报告
第十章 对企业信息安全意识教育的认知
在众多的信息安全管控措施中,信息安全按培训是一种非常有效的方式,您接受过您企业组织的信息安全培训吗?多久会有一次信息安全培训?
一 信息安全培训与频度
调查结果显示,30.1%的受访者从来没有接受过信息安全培训,69.9%的受访者曾经接受过信息
安全培训。
而接受过信息安全培训的受访者中,有32.8%的受访者会接受到定期的信息安全培训,23%的受访者是在入职时接受过信息安全培训,而44.2%的受访者接受的是不定期举行的信息安全培训。
图表:受访者所在企业信息安全培训情况统计
图表:受访者所在企业信息安全培训频度情况统计
与2010年调查结果相比,从来没有接受过信息安全培训的比例有所下降,接受过的比例有所上升。而接受过信息安全培训的受访者中,定期举行信息安全培训的比例有所上升,不定期举行或者只在入职时候有信息安全培训的比例都有所下降。
图表:2011
年与2010年受访者所在企业信息安全培训与频度情况统计
二 公司信息安全策略
您所在的企业是否有信息安全策略?您知道这些信息安全策略都包含哪些内容吗?
调查结果显示,所有受访者中,64.2%的受访者不知道公司的信息安全策略的相关规定,35.85的受访者知道公司的信息安全策略的相关规定。
图表:受访者对所在企业信息安全策略了解情况统计
第13页 2011年度中国企业员工信息安全意识调查报告
三 信息安全事件处理
发生信息安全事件,您知道第一时间应该做些什么吗?
调查结果显示,所有受访者中,发生信息安全事件,超过半数的受访者不会找安全管理员处理,不知道如何处理的占4.5%,找同事帮忙处理的占16.5%,自己处理的占31.7%。
四 信息密级程度
您知道自己接触的信息是否有保密信息吗,知道它的密级程度吗?
调查结果显示,所有受访者中,知道自己接触信息
的密级程度的占53.3%,接近半数(46.7%)的受访者不知道自己接触信息的密级程度。
图表:受访者对发生信息安全事件处理情况统计
图表:受访者对所在企业信息密级程度了解情况统计
五 保密协议
员工与企业签署保密协议,既是对企业信息的保护,也是对企业员工的保护。
调查结果显示,所有受访者中,需要签订并签了保密协议的受访者占63.6%,不需要签订保密协议也没签的受访者占24%,需要签订但没签保密协议的受访者占6.2%,不知道是否需要签订保密协议的受访者占6.2%。
六 信息泄密惩治
您知道自己接触的信息是否有保密信息吗,知道它的密级程度吗?
调查结果显示,所有受访者中,知道自己接触信息的密级程度的占53.3%,接近半数(46.7%)的受访者不知道自己接触信息的密级程度。
图表:受访者是否签署保密协议情况统计
图表:受访者是否知道所在企业信息泄密惩治措施情况统计
第14页 2011年度中国企业员工信息安全意识调查报告
七 信息分类、分级别
您所在企业对信息的分类和分级别是否有相关规定,您了解吗?
调查结果显示,所有受访者中,所在企业会对信息分类并分级别的受访者所占比例为55.8%,对信息不分类也不分级别的受访者所占比例为15.9%
,对信息不分类分级别的受访者所占比例为4.9%,对信息分类不分级别的受访者所占比例为23.5%。
图表:受访者所在企业信息分类、分级别情况统计
提高企业员工信息安全意识水平是提升企业安全能力,保护企业信息的一项重要措施。为了达到好的员工信息安全意识培养效果,从员工的角度出发,了解员工愿意接受的信息安全意识培养形式、想了解的内容等至关重要。
八 是否希望公司有信息安全意识培养
调查结果显示,所有受访者中,希望自己所在企业对自己进行信息安全意识培养的受访者占86.1%,只有13.9%的受访者选择了不希望。
九 想获得信息安全相关内容
调查结果显示,所有受访者中,最希望获得的信息安全相关内容是注意事项,然后依次是案例分
析、基本操作、安全通告与其他信息安全相关内容。
图表:受访者是否希望公司有信息安全意识培养工作情况统计
图表:受访者想获得信息安全相关内容情况统计
第15页 2011年度中国企业员工信息安全意识调查报告
十 喜欢的信息安全意识培养形式
十一 上级领导安全意识
调查结果显示,所有受访者中,最喜欢的信息安全意识培养形式是FLASH 动画、视频、宣传片,然后依次是课堂培训、信息安全海报、信息安全手册、邮件通告、网上课程和小贴士、台历、鼠标垫等。
企业领导层接触企业最核心最机密的信息,同时,领导是否重视企业的信息安全工作是影响企业安全能力水平的一个重要因素,所以企业领导的信息安全意识水平显得尤为重要。
调查结果显示,所有受访者中,反映自己的领导信息安全意识很强的受访者比例为50.6%,认为领导的信息安全意识一般的占42.4%,认为领导的信息安全意识很差的比例占4.1%,认为领导的信息安全意识不如自己的比例占2.9%。
图表:受访者喜欢的信息安全意识培养形式情况统计
图表:受访者上级领导信息安全意识水平情况统计
十二 对企业信息安全隐患的认知 十三 有效保护信息安全
面临的最大障碍的认知
调查结果显示,42.7%的受访者认为员工缺乏信息安全意识是企业信息安全最大的隐患,所占比例最大,接下来依次是没有安全制度或制度未落实、投入不足或安全管理人员缺乏培训、安全产品功能不足和其他。
调查结果显示,48%的受访者认为员工普遍缺乏信息安全意识是企业有效保护信息安全面临的最大障碍,所占比例最大,接下来依次是管理跟不上、信息安全人才不够、技术不过关、法律不健全和其他。
图表:受访者对企业信息安全隐患认知情况统计
图表:受访者对有效保护信息安全面临最大障碍认知情况统计
第16页 2011年度中国企业员工信息安全意识调查报告
第十一章 问题与建议总结
通过对本次调查有效问卷的分析,对比《2010年度中国企业员工信息安全意识调查报告》,结果显示中国企业员工依然普遍缺乏信息安全意识,而绝大部分受访者都表明希望自己所在企业对员工开展信息安全意识培养工作,提升自己的信息安全意识水平。
要实现企业信息安全,必须围绕着“人”这个安全主体,关心人的行为安全,真正做到“以人为本”才是关键。而实现“以人为本”的信息安全管理,第一步就必须提高员工的信息安全意识水平。此项工作需要全方位、立体化,不能“三分钟热情”,应该持之以恒。
同时需要结合企业的文化、具体情况和要求,辅以生动、形象、简洁的方式进行,摒弃过去照本宣科的方式。可以定期采用信息安全海报、动画视频、屏幕保护、安全手册、培训课程等多种方式,来不断强化员工安全意识,建立健全适用的信息安全管理规章制度和操作流程并严格落实来不断规范员工行为。只有从根本上解决信息安全管理中人的问题,打造好企业坚实的人力防火墙,才能最终保证企业的信息安全。
第17页 2011年度中国企业员工信息安全意识调查报告
中国企业员工信息安全意识调查报告
调查活动主办方:北京谷安天下科技有限公司
调查活动协办方:安帮网、华安信达论坛、ITIL 先锋论坛 调查报告撰写: 北京谷安天下科技有限公司
第一章 调查活动介绍
一 调查活动背景
2011年底发生的CSDN 、天涯、人人网等用户信息泄密事件的余温还未消退,2012年3.15晚会中披露的浦发银行、光大银行、工商银行、淘宝、京东商城等知名企业员工泄密事件再次让人们震惊! 让人们在为自己的个人信息被泄露而恐慌,企业深受名誉损害、经济损失困扰的同时,更应该看到与重视引发这些事件的根源——个人或者企业员工薄弱的信息安全意识。
作为企业信息安全保障第一道防线——员工信息安全意识,它的薄弱会给企业带来无法挽回的名誉损害与经济损失。企业提高员工的信息安全意识工作显得刻不容缓,企业开展员工信息安全意识培养工作之前,了解我国企业员工信息安全意识现状,对实施具体工作会有很大帮助与重要意义,因此,北京谷安天下科技有限公司特开展《2011年度中国企业员工信息安全意识调查》活动。
本次调查活动以问卷调查和网络在线调查为基本形式,问卷题目范围涉及当前中国企业员工信息安全意识认知及相关应用情况。统计结果与2010年度的统计结果做了对比,希望2011年调查问卷的统计结果以及与2010年度调查对比结果能够为中国各企业提供详实可靠的参考数据,并通过对调查结果的推广,增强中国企业员工对信息安全意识的重视,提高中国企业员工信息安全意识水平,奠定好企业提升安全能力的基础。
基于取得的有效调查数据样本,报告主要对2011年中国企业员工信息安全意识状况进行解读,包括企业员工个人及企业物品保护意识、物理安全意识、数据安全意识、口令安全意识、社会工程意识、终端安全意识、上网安全意识、外包安全意识、信息安全教育等。
本次调查活动网络在线调查部分,由信息安全专业网络社区安帮网(www.sec580.com)、信息安全专业论坛华安信达(http://bbs.cisps.org/)和IT 服务专业论坛ITIL 先锋论坛(http://www.itilxf.com/forum.php)联合主办。
二 调查方法说明
(一) 调查方法
本次调查采用问卷调查和网络在线调查两种方式。其中本报告中相关数据成果主要来自这两种调查方式的有效问卷。
(二) 在线调查方法说明
1. 调查时间
本次调查时间为:2011年12
月12日至12月30日。
2. 样本分布
调查的样本目标是中国大陆(除港、澳、台三地)公民,共得到有效数据样本1408个。
第1页 2011年度中国企业员工信息安全意识调查报告
三 报告概述及摘要
调查问卷题目设计与2010年度的调查问卷题目相比,保留了个人及企业物品保护意识、物理安全意识、数据安全意识、社会工程意识、终端安全意识、上网安全意识、信息安全教育几方面的题目,在个人信息保护意识方面的调查题目设计侧重于口令安全方面的调查,同时新增了外包安全方面的调查题目。并且与2012年度调查问卷相比,题目设计根据信息安全发展现状做了新的调整。
20大 显著问题
1、有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
2、拥有胸卡的受访者中,接近半数的人曾经外借过胸卡。与2010年的调查数据相比,经常外借胸卡的比例有所上升。 3、在去陌生环境出差时, 51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图,48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升,但情况依然不算乐观。 4、36.6%的受访者会在办公桌面放密级资料。
5、52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看。
6、37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。
7、选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
8、仅有30%受访者对敏感数据会进行分类和加密。 9、65%的受访者电脑中数据不做备份或者不定期做备份。 10、接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。
11、接近50%的受访者选择不安全的设置电脑屏保、密码方式。
12、有33%的受访者会在电脑桌面存放密级资料。 13、39.2%的受访者暂时离开电脑不会锁屏。
14、当收到熟悉发件人发送的自动播放flash 动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网
通过对有效调查问卷的分析
与统计,受访者在希望公司对自己做信息安全意识培养的认知、对违反所在企业信息安全制度的认知、签订保密协议、针对第三方工作人员密码的管理、接受信息安全培训情况、网银使用、关闭U 盘自动运行、安装杀毒软件并定期升级、在公共电脑存放文件并做相关访问控制、工作资料的保管、U 盘外借方面做的相对较好;
而受访者的工作胸卡保管、
个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑屏保与密码设置、电脑桌面安全、暂时离开电脑、熟悉发件人发的链接和动画处理方式、网页弹出的链接处理、对公司信息安全相关规定的了解、遇到信息安全事件的处理方式等相关安全意识相对较差。
页或点击网页链接。
15、41.1%的受访者会点击网页上吸引自己的链接。 16、47.4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过。
17、64.2%的受访者不知道公司的信息安全策略的相关规定。 18、52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理。
19、46.7%的受访者不知道自己接触信息的密级程度。 20、49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。
第2页 2011年度中国企业员工信息安全意识调查报告
第二章 个人及公司物品保管意识
一 胸卡
企业看重胸卡作为企业形象统一、
员工身份识别所发挥的重要作用,但信息窃取者却将员工胸卡作为其窃取信息的重要工具。
调查结果显示,所有受访者中,75.7%的受访者有胸卡;而拥有胸卡的受访者中,曾经借过胸卡给同事的比重为33.2%,经常外借胸卡的比重占9.1%,57.7%的受访者从来没有外借过自己的胸卡。
二 物品保管意识
抽屉作为企业员工日常办公必备的办公用品,里面极大可能放置重要的资料,其安全的重要性可想而知,但实际上,您是如何管理您抽屉里的资料的呢?
调查结果显示,所有受访者当中,56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为,有43.2%的受访者采用锁抽屉并随身携带钥匙的抽屉物品保管安全行为。
图表:受访者保管工作胸卡情况统计
与2010年调查结果相比,拥有胸卡的受访者中,经常外借胸卡的比重有所上升,曾经外借胸卡但不经常和从来不外借胸卡的比例都有所下降。
与2010年调查结果相比,受访者采取正确的抽屉物品保管安全行为的比例上升了11.1%。
图表:受访者抽屉中物品保管情况统计
图表:
2011年与2010年受访者保管工作胸卡情况统计对比
图表:2011年与2010年受访者抽屉中物品保管情况统计对比
第3页 2011年度中国企业员工信息安全意识调查报告
第三章 物理环境安全意识
一 出差地点紧急通道
办公地点紧急通道的位置,关系着紧急状况发生时员工最为重
要的人生安全,多数员工都知道自己办公地点的紧急通道的位置,但是当您因工出差到陌生环境时,您还会主动了解自己工作或居住场所的紧急通道位置或楼层结构等信息吗?
调查结果显示,所有受访者中,在去陌生环境出差的情况下,有48.6%
的受访者会去主动了解自己工作或居住场所的紧急通道位置或楼层结构图,51.4%的受访者都选择不会主动了解。
图表:受访者出差地点紧急通道了解情况统计
二 办公桌面安全
很多企业员工在自己桌面上会放置重要快递;会有记着自己工作的纸片,上面可能有随手记下的重要信息,还会有工作计划与工
作内容……但这些,其实都属于受保护的信息。
调查结果显示,所有受访者中,会在办公桌面放密级资料的人占到36.6%,而且有10.3%的人不会定期清理,是很长时间才会清理一次办公桌面的密级资料。
图表:受访者办公桌面安全情况统计
三 打印机安全
打印机打印的资料,很多都属于重要信息,您打印资料时会一直等在打印机旁吗?或者您打印好的资料都及时拿走了吗?
调查结果显示,所有受访者中,有52.9%的受访者表示自己所在企业的打印机附近有合同、通知等资料不及时回收,可以让人任意看。
图表:受访者打印机安全情况统计
四 尾随
您是否知道企业外部人员尾随您进入办公区域有可能带来的恶果?您有留意过是否有外部人员尾随您进入到办公区域吗?
调查结果显示,所有受访者中,37.3%的人选择会直接或者询问下就让尾随的外部人员直接进入;57.1%的人选择让其按照登记流程进入。
图表:受访者对尾随人员认知情况统计
第4页 2011年度中国企业员工信息安全意识调查报告
第四章 口令/密码安全
您设置的密码是纯数字、简单几位的字母+数字?……您是否知道您设置的密码过于简单、位数过少、经常不更换密码都会给信息窃取者留下巨大的可乘之机?
一 口令/密码设置规则
调查结果显示,所有受访者中,选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%;有24.8%的人选择设置口令/密码是数字+字母+符号;还有35.1%的人选择数字+字母,而采用纯数字这种最易攻破的口令/密码的人占了14.7%。
图表:受访者口令/密码设置规则情况统计
二 口令/密码设置位数
调查结果显示,所有受访者中,平时为使用的电脑终端设置密码的受访者占97.7%,有2.3%的受访者不设密码。平时使用电脑终端设置密码的受访者中,密码位数设置在9-10位的所占比重最大,为27.8%,以下依次为密码7-8位占27.2%,11-15位占22.3%,6位占14.3%和15位以上占8.4%。
三 口令/密码更换
定期更换密码是保护密码的有效途径,更换密码时间至少为3个月一次。
调查结果显示,所有受访者中,电脑没有设置密码的人所占比例为10.1%;电脑设置密码的人当中,35.2%的受访者半年以上更换一次密码,或者从不更换密码。21.6%的受访者3-6个月更换一次密码;23.0%的受访者1-3个月更换一次密码;仅有10.1%的受访者选择1或1个月以内更换密码。
图表:受访者口令/密码设置位数情况统计
图表:受访者口令/密码更换情况统计
与2010年调查结果对比,口令/密码设置位数在7-8位的人数所占比例有所下降,选择11-15位所占比例持平,其他结果所占比例都有所上升。
与2010年调查结果对比, 选择半年以上或从不更换电脑密码人所占比例有所下降,其他选项结果都有所上升。
图表:2011年与2010年受访者口令/密码设置位数情况统计对比 图表:2011年与2010年受访者口令/密码更换情况统计对比
第5页 2011年度中国企业员工信息安全意识调查报告
第五章
数据安全意识
一 敏感数据分类与加密
您是否知道自己企业的敏感数据有哪些?是否知道自己接触到的敏感信息应该如何保护?
调查结果显示,所有受访者中,接近半数的
人选择对敏感数据分类不加密,占到46.0%的比例;有19%的人选择对敏感数据不分类不加密;有30.0%的对敏感数据既分类又加密;5.0%的人选择对敏感数据不分类,但是都会加密。
二 工作资料
对于自己每天都会接触的工作资料,对于您而言可能很平常,可您是否知道,您的工作资料对于别人而言却极为“不平常”?那么哪些工作资料该保护,如何保护?
调查结果显示,所有受访者中,如果遇到关系好的同事要资料,其中13.0%的受访者是直接给,50.7%的受访者会自己问清楚用途再决定是否给;30.4%的受访者会请示领导后再决定是否给;5.9%的受访者会直接拒绝。
图表:受访者对敏感数据分类与加密情况统计
图表:受访者工作资料保管情况统计
与2010年调查结果对比,选择既分类又加密的人数所占比例有所上升,其他不安全操作选项所占的比例都有所下降。
与2010年调查结果对比,选择请示领导再决定是否给的人数所占比例略有上升,选择直接拒绝基本持平,选择直接给和问清楚用途自己决定是否给的人所占比例都略有下降。
图表:2011年与2010年受访者对敏感数据分类
与加密情况统计
图表:2011年与2010年受访者工作资料保管情况统计
第6页 2011年度中国企业员工信息安全意识调查报告
三 移动介质外借
U 盘、移动硬盘、光盘这些移动介质方便小巧,
四 数据备份
电脑中的数据承载巨大的价值,如果丢失或被窃取、篡改,将承受巨大的时间、金钱和精神上的损失,因此电脑数据定期备份至关重要。
调查结果显示, 有35.0%比例的人会定期给电脑做备份,不做备份的比例为29.2%,不定期做备份的比例为35.8%。
为我们存储、移动数据带来了诸多便利,但是您是否知道移动介质也很容易造成病毒的感染与泛滥、泄密等恶果。
调查结果显示,平时使用U 盘的受访者中,13.8%的受访者从来不外借U 盘,而25.2%的人会不查看就直接借出;61.0%的受访者会在查看之后再借出U 盘。
图表:受访者移动介质外借情况统计
图表:受访者数据备份情况统计
与2010年调查结果对比,平时使用U 盘的受访者中,查看之后再借出U 盘的人数比例有所下降,从不外借U 盘和不查看就借出U 盘的人数所占比例都有所上升。
与2010年调查结果对比,不会做备份和不定期做备份的比例有所下降,会定期做备份的比例有所上升。
图表:2011年与2010年受访者移动介质外借情况统计
图表:2011年与2010年受访者数据备份情况统计
第7页 2011年度中国企业员工信息安全意识调查报告
五 密级资料粉碎处理
密级资料的特殊与重要性不言而喻,但是密级资料应该如何处理您是否知道?
调查结果显示,所有受访者中,接近半数的受访者表示所在单位不会马上对密级资料进行粉碎处理,表示会马上进行粉碎处理的比例占到52.4%。
图表:受访者所在企业密级资料粉碎处理情况统计
六 公共电脑管理
公共电脑上会汇集众多员工临时存储的信息,但是这些信息也会让众多员工都看到,那么使用公共电脑应该注意什么问题?
调查结果显示,所有受访者中,27.2%比例的人表示所占企业没有公共电脑。而企业有公共电脑的受访者中,不会存涉密或者受限访问的文件的比例为62.5%
,会存涉密或者受限访问的文件但做了相关访问控制措施的比例为31.1%,会存涉密或者受限访问的文件但不做相关访问控制措施的比例为6.5%。
图表:受访者所在企业公共电脑管理情况统计
第六章 终端安全意识
一 屏保及密码设置
电脑屏保与密码在保护电脑信息方面起到了重要作用,为电脑设置屏保与密码的操作也简单易行,但是您的电脑都设置了吗?
调查结果显示,所有受访者中,约有半数的受访者选择不安全的设置电脑屏保与密码的方式,没屏保没密码的比例为15.7%,没屏保有密码的比例为20.0%,有屏保没密码的比例为13.2%。
图表:受访者电脑屏保及密码设置情况统计
第8页
2011年度中国企业员工信息安全意识调查报告
二
杀毒软件及病毒库升级
随着电脑知识的普及,不安装杀毒软件的电脑已经非常少了,但是随之而来的问题是,您电脑的病毒库会定期升级吗?
调查结果显示,所有受访者中,没安装杀毒软件的占4.9%;95.1%的受访者安装了杀毒软件,定期升级病毒库的占75.4%,还有10.7%的受访者想起来才升级病毒库,9.0%的受访者不升级病毒库。
图表:受访者电脑杀毒软件及病毒库升级情况统计
三 电脑桌面清理
为了寻找方便,很多人将经常用或者临时接收的文件都保存在电脑桌面上,那您是 否知道您为自己带来便利的同时,
为信息窃密者也提供了便利?
调查结果显示,有33%的受访者会在电脑桌面存放密级资料,很长时间清理一次的比例为10%,定期清理比例为23%。
图表:受访者电脑桌面清理情况统计
四
暂时离开电脑
您每天工作期间,是否经常或者有机会暂时离开电脑,那暂时离开电脑之前您会对您的电脑锁屏吗?
调查结果显示,所有受访者中,会锁屏的占60.8%,不会锁屏的占39.2%。
图表:受访者暂时离开电脑情况统计
五 关闭U 盘自动运行
U 盘作为常用办公用品,使用率与流转率都很高。但是U 盘自动播放,病毒也会自动运行。
调查结果显示,仍有27.1%的受访者不知道如何关闭U 盘的自动运行。
图表:受访者关闭U 盘自动运行情况统计
第9页 2011年度中国企业员工信息安全意识调查报告
第七章 社会工程
一 熟悉发件人发出的自动播放附件和内嵌网页
您是否会经常收到您熟悉的朋友给您发送的含有附件、链接或者内嵌网页等的邮件,收到后,您会怎么做?
调查结果显示,所有受访者中,当收到熟悉发件人发送的自动播放flash 动画或邮件内部嵌入的网页时,14.7%的人会把动画下载下来查毒后再查看;17.9%的人会看动画,但只预览网页的大概内容;还有26.7%的人会看动画,但不会点击网页的链接;40.7%的人选择都不会看。
图表:受访者对朋友发出链接和网页点击情况统计
与2010年调查结果对比,选择都不看和把动画下载下来查看后再看的比例都有所上升,选择只看动画、不点击网页的链接和看动画,只预览网页大概的内容的比例都有所下降。
图表:2011年与2010年受访者对朋友发出链接和网页
二 信息安全相关消息的处理方式
您是否会经常接收到或者看到一些信息安全相关的知识、新闻等信息,您都是如何看待和处理这些信息的?转发朋友,自己引以为戒,还是置之不理?
调查结果显示,所有受访者中,选择看完之后会引以为戒的占44.1%,选择看完之后会与别人分享并提醒别人的占39.1%,选择就是看看,看完之后没别的举措的占16.8%。
点击情况统计对比
图表:受访者对信息安全相关消息处理方式的情况统计
第10页 2011年度中国企业员工信息安全意识调查报告
第八章 上网安全
一 网银
每年网银木马以惊人的数量在发展,给网银使用者带来巨大的经济损失。
调查结果显示,所有受访者中使用和不使用网银的比例分别为
81.8%和18.2%。
越来越多的人开始并经常使用网银,巨大的网络支付成交额对病毒作者来说有着极大的吸引力,
而使用网银的受访者中,70.7%的受访者会使用U 盾,还有29.3%的受访者在使用网银时是不使用U 盾的。
图表:受访者网银使用情况统计
图表:受访者使用网银时U 盾使用情况统计
二 弹出链接
调查结果显示,所有受访者中,当即时聊
天工具或论坛、网页弹出链接时,58.9%的受访者从不点击这些链接,而39.1%的受访者会对自己感兴趣的链接进行点击,2.0%的人会都点击。
与2010年调查结果对比,选择都点击和从不点击的人数比例都有所上升,选择感兴趣点击的比例有所下降。
图表:受访者对弹出链接点击情况统计
图表:2011年与2010年受访者对弹出链接点击情况统计
第11页 2011年度中国企业员工信息安全意识调查报告
三 恶意插件、病毒的攻击
恶意插件、病毒这些信息安全威胁因素越来越为大家熟知,但是面临病毒数目突飞猛进的增长速度,我们对恶意插件和病毒的防范依然不能让人掉以轻心。
根据对受访者是否遇到过恶意插件、病毒攻击的情况调查结果显示,从没遇到过的占33.4%,有过1-2次经历损失轻微的占44.6%,可能有过但自己不太确定的占19.2%,经常被攻击损失惨重的占2.8%。
图表:受访者受到恶意插件、病毒攻击情况统计
第九章 外包安全
一 第三方人员安全
越来越多的公司会将部分业务或者系统外包给第三方公司,不可避免的就会涉及到第三方人员的管理。良好的管理三方人员既保护企业信息,同时也是对第三方人员的保护。
调查结果显示,如果接触到公司的外包/第三方人员,会因为工作需要把密码告知为您服务的第三方人员时,64.2%的受访者选择不会直接告诉自己输入密码,6.7%的受访者选择会告诉但自己定期修改密码,12%的受访者选中会直接告诉之后不做任何措施,17.1%的受访者选择告诉后在第三方使用后自己更换密码。
图表:受访者对第三方人员密码管理情况统计
第12页 2011年度中国企业员工信息安全意识调查报告
第十章 对企业信息安全意识教育的认知
在众多的信息安全管控措施中,信息安全按培训是一种非常有效的方式,您接受过您企业组织的信息安全培训吗?多久会有一次信息安全培训?
一 信息安全培训与频度
调查结果显示,30.1%的受访者从来没有接受过信息安全培训,69.9%的受访者曾经接受过信息
安全培训。
而接受过信息安全培训的受访者中,有32.8%的受访者会接受到定期的信息安全培训,23%的受访者是在入职时接受过信息安全培训,而44.2%的受访者接受的是不定期举行的信息安全培训。
图表:受访者所在企业信息安全培训情况统计
图表:受访者所在企业信息安全培训频度情况统计
与2010年调查结果相比,从来没有接受过信息安全培训的比例有所下降,接受过的比例有所上升。而接受过信息安全培训的受访者中,定期举行信息安全培训的比例有所上升,不定期举行或者只在入职时候有信息安全培训的比例都有所下降。
图表:2011
年与2010年受访者所在企业信息安全培训与频度情况统计
二 公司信息安全策略
您所在的企业是否有信息安全策略?您知道这些信息安全策略都包含哪些内容吗?
调查结果显示,所有受访者中,64.2%的受访者不知道公司的信息安全策略的相关规定,35.85的受访者知道公司的信息安全策略的相关规定。
图表:受访者对所在企业信息安全策略了解情况统计
第13页 2011年度中国企业员工信息安全意识调查报告
三 信息安全事件处理
发生信息安全事件,您知道第一时间应该做些什么吗?
调查结果显示,所有受访者中,发生信息安全事件,超过半数的受访者不会找安全管理员处理,不知道如何处理的占4.5%,找同事帮忙处理的占16.5%,自己处理的占31.7%。
四 信息密级程度
您知道自己接触的信息是否有保密信息吗,知道它的密级程度吗?
调查结果显示,所有受访者中,知道自己接触信息
的密级程度的占53.3%,接近半数(46.7%)的受访者不知道自己接触信息的密级程度。
图表:受访者对发生信息安全事件处理情况统计
图表:受访者对所在企业信息密级程度了解情况统计
五 保密协议
员工与企业签署保密协议,既是对企业信息的保护,也是对企业员工的保护。
调查结果显示,所有受访者中,需要签订并签了保密协议的受访者占63.6%,不需要签订保密协议也没签的受访者占24%,需要签订但没签保密协议的受访者占6.2%,不知道是否需要签订保密协议的受访者占6.2%。
六 信息泄密惩治
您知道自己接触的信息是否有保密信息吗,知道它的密级程度吗?
调查结果显示,所有受访者中,知道自己接触信息的密级程度的占53.3%,接近半数(46.7%)的受访者不知道自己接触信息的密级程度。
图表:受访者是否签署保密协议情况统计
图表:受访者是否知道所在企业信息泄密惩治措施情况统计
第14页 2011年度中国企业员工信息安全意识调查报告
七 信息分类、分级别
您所在企业对信息的分类和分级别是否有相关规定,您了解吗?
调查结果显示,所有受访者中,所在企业会对信息分类并分级别的受访者所占比例为55.8%,对信息不分类也不分级别的受访者所占比例为15.9%
,对信息不分类分级别的受访者所占比例为4.9%,对信息分类不分级别的受访者所占比例为23.5%。
图表:受访者所在企业信息分类、分级别情况统计
提高企业员工信息安全意识水平是提升企业安全能力,保护企业信息的一项重要措施。为了达到好的员工信息安全意识培养效果,从员工的角度出发,了解员工愿意接受的信息安全意识培养形式、想了解的内容等至关重要。
八 是否希望公司有信息安全意识培养
调查结果显示,所有受访者中,希望自己所在企业对自己进行信息安全意识培养的受访者占86.1%,只有13.9%的受访者选择了不希望。
九 想获得信息安全相关内容
调查结果显示,所有受访者中,最希望获得的信息安全相关内容是注意事项,然后依次是案例分
析、基本操作、安全通告与其他信息安全相关内容。
图表:受访者是否希望公司有信息安全意识培养工作情况统计
图表:受访者想获得信息安全相关内容情况统计
第15页 2011年度中国企业员工信息安全意识调查报告
十 喜欢的信息安全意识培养形式
十一 上级领导安全意识
调查结果显示,所有受访者中,最喜欢的信息安全意识培养形式是FLASH 动画、视频、宣传片,然后依次是课堂培训、信息安全海报、信息安全手册、邮件通告、网上课程和小贴士、台历、鼠标垫等。
企业领导层接触企业最核心最机密的信息,同时,领导是否重视企业的信息安全工作是影响企业安全能力水平的一个重要因素,所以企业领导的信息安全意识水平显得尤为重要。
调查结果显示,所有受访者中,反映自己的领导信息安全意识很强的受访者比例为50.6%,认为领导的信息安全意识一般的占42.4%,认为领导的信息安全意识很差的比例占4.1%,认为领导的信息安全意识不如自己的比例占2.9%。
图表:受访者喜欢的信息安全意识培养形式情况统计
图表:受访者上级领导信息安全意识水平情况统计
十二 对企业信息安全隐患的认知 十三 有效保护信息安全
面临的最大障碍的认知
调查结果显示,42.7%的受访者认为员工缺乏信息安全意识是企业信息安全最大的隐患,所占比例最大,接下来依次是没有安全制度或制度未落实、投入不足或安全管理人员缺乏培训、安全产品功能不足和其他。
调查结果显示,48%的受访者认为员工普遍缺乏信息安全意识是企业有效保护信息安全面临的最大障碍,所占比例最大,接下来依次是管理跟不上、信息安全人才不够、技术不过关、法律不健全和其他。
图表:受访者对企业信息安全隐患认知情况统计
图表:受访者对有效保护信息安全面临最大障碍认知情况统计
第16页 2011年度中国企业员工信息安全意识调查报告
第十一章 问题与建议总结
通过对本次调查有效问卷的分析,对比《2010年度中国企业员工信息安全意识调查报告》,结果显示中国企业员工依然普遍缺乏信息安全意识,而绝大部分受访者都表明希望自己所在企业对员工开展信息安全意识培养工作,提升自己的信息安全意识水平。
要实现企业信息安全,必须围绕着“人”这个安全主体,关心人的行为安全,真正做到“以人为本”才是关键。而实现“以人为本”的信息安全管理,第一步就必须提高员工的信息安全意识水平。此项工作需要全方位、立体化,不能“三分钟热情”,应该持之以恒。
同时需要结合企业的文化、具体情况和要求,辅以生动、形象、简洁的方式进行,摒弃过去照本宣科的方式。可以定期采用信息安全海报、动画视频、屏幕保护、安全手册、培训课程等多种方式,来不断强化员工安全意识,建立健全适用的信息安全管理规章制度和操作流程并严格落实来不断规范员工行为。只有从根本上解决信息安全管理中人的问题,打造好企业坚实的人力防火墙,才能最终保证企业的信息安全。
第17页 2011年度中国企业员工信息安全意识调查报告