近日，知名研究机构Gartner发布的2024年网络安全趋势报告中，特别强调了“实施安全行为与文化计划以降低人为风险”。安全行为与文化建设首次入选Gartner年度安全趋势榜单，凸显了网络安全领域的新焦点。据统计，绝大多数的网络攻击都利用了“人的漏洞”，2023年发生的多次重大安全事件均是通过社交工程攻击实现的。Gartner的安全行为调查显示，高达69%的受访者在过去的一年内曾经故意绕过公司的安全机制。

随着生成式AI技术的兴起，政企面临着更加严峻的安全挑战。传统的网络安全意识教育已无法有效地减少员工行为导致的安全事件。因此，新兴的人为因素风险管理开始从提高意识转向促进行为改变，标志着安全意识进入了2.0时代。

一、我国对网络安全需求凸显

因此，加强网络安全管理，特别是人为因素的管理，显得尤为重要。

二、人为因素风险管理存在诸多挑战

新兴的人为因素风险管理旨在从提高意识转向促进行为改变，以保障网络安全。然而，这一过程中面临着诸多挑战。

跨部门沟通难：

不同部门间常因职责划分、信息壁垒或优先级差异导致沟通障碍，影响安全策略的有效执行与信息共享，需建立跨部门协作机制，促进无缝沟通。

风险评估人员专业能力不足：

部分风险评估人员缺乏最新安全技术和威胁情报知识，难以准确识别潜在风险，需加强专业培训，提升团队整体专业水平。

人员操作失误：

日常操作中，员工可能因疏忽或误解安全规程而导致安全事件，需强化操作规范培训，建立错误预防机制。

人员配置不足：

随着业务扩展，安全团队可能面临人员短缺，难以应对日益增长的安全需求，需合理规划人力资源，确保关键岗位人员充足。

人员监控能力不足：

监控系统可能因技术限制或策略不当而无法全面捕捉异常行为，需升级监控技术，优化监控策略，确保及时发现潜在威胁。

人员疲劳和疏忽：

长时间高强度工作易导致员工疲劳，影响判断力和注意力，增加安全漏洞，需合理安排工作时间，实施轮班制度，减轻员工压力。

人员响应速度慢：

面对安全事件，若响应不及时可能扩大损失，需建立快速响应机制，明确职责分工，提升团队应急处理能力。

人员沟通不畅：

团队内部沟通不畅会阻碍信息共享和问题解决，需加强团队建设，提升沟通技巧，营造开放、透明的沟通氛围。

人员缺乏总结和改进意识：

忽视经验教训总结，难以持续改进安全管理，需建立定期回顾机制，鼓励员工提出改进建议，持续优化安全流程。

人员培训不足：

员工未接受充分的安全培训，难以有效应对安全挑战，需制定全面培训计划，涵盖安全意识、操作技能等多个方面，确保全员参与。

三、全过程风险管控保障人为因素安全管理

针对上述挑战，道普信息风险管控专家提出了具体的解决方案，旨在保障人员因素的安全，包括但不限于强化跨部门协作机制、提升风险评估人员的专业水平、加强员工的安全意识教育等。

建立跨部门协作机制：明确沟通渠道和职责，定期召开跨部门会议，促进信息共享和协同工作。

加强风险评估人员培训：提升其专业技能和知识储备，确保评估结果的准确性和有效性。

制定操作规范与流程：加强人员培训和监督，减少操作失误的发生。

合理配置人力资源：根据工作需求增加关键岗位人员，确保安全工作的有效开展。

提升监控技术手段：采用自动化监控工具，结合人工巡检，确保全面监控和及时响应。

合理安排工作与休息时间：实施轮班制度，关注员工心理健康，减少疲劳和疏忽的发生。

建立快速响应机制：明确响应流程和责任人，加强应急演练，提升人员应急响应能力。

优化内部沟通渠道：采用多种沟通方式（如邮件、即时通讯工具、会议等），确保信息畅通无阻。

建立总结和改进机制：鼓励员工定期总结工作经验，提出改进建议，并将优秀实践纳入日常工作流程。

加强人员培训：制定系统的培训计划，涵盖安全知识、技能提升和新技术应用等方面，确保人员能力持续提升。

在当前网络安全态势下，人为因素管理的重要性日益凸显。无论是企业还是政府部门，都需要加大对人为因素安全管理的投入，通过综合性的策略和技术手段来降低人为风险，确保信息资产的安全。为因素安全管理不仅关系到企业的健康发展，还关乎国家的安全稳定。未来，随着技术的发展和社会的进步，人为因素的安全管理将会成为网络安全领域的核心议题之一，对于促进各行业的可持续发展具有重要意义。