“i人e人”来自人格类型理论模型(MBTI测试)。该模型以4个维度划分出16种人格。“i”和“e”是该模型其中一个指标的两极,“i”代表内倾型,被简单理解为内向、社恐;“e”代表外倾型,被简单理解为外向、社牛。
“你是i人还是e人?”是对MBTI的再度简化和二元分类,把所有人用非此即彼的“i人”“e人”简单归类。随着这种二元分类的走红,有人以测试结果作为参考指导生活,有人以人格类型作为交友准则,甚至有餐饮连锁企业将等位区划分为“i人”区和“e人”区……
这种二元分类的“标签化”存在着很大的局限性。人的行为和性格是复杂的,很难用简单的标签来概括。依赖标签,可能会引发偏见和刻板印象。这种二元的简单分类既会影响判断,也体现出认知方面的懒惰。
信息安全中也存在着很多类似的误区,比如:信息安全责任、权限和风险等。
“有文件的创建者对文件的安全负责,我只是文件的阅读者,所以我不用对这个文件的信息安全负责。”(×)
信息安全责任不是有一个人专门负责就行的,无论是信息的创建者、使用者还是阅读者,每个人都对信息的安全负有责任。
“有快递公司的人联系我,有从深圳公司寄出的快递需要我收取,同时还有同事A和同事B的快递,需要我提供二位同事的联系方式,方便派件。我在电话中好好配合快递公司,直接给出二位同事的联系方式和其他具体信息。“(×)
不是所有需求都是合理的,有些可能是无意要求了过大权限,也有可能是蓄意套取信息。要选择性地拒绝或细致开放阅读、复制、编辑等权限,不能无脑开放。除此之外,权限的检查和收回也是非常重要的一环,比如需求已满足、工作内容变化、人事变动等。
“工作里的信息公司肯定都做了防护策略,都很安全!”(×)
信息化的环境下,所有信息都时刻处在风险之中。各类防护策略和办公要求都是为了尽可能降低风险发生的可能性;而且,因为信息价值的不同,有些涉密信息会面临更大的安全风险。
信息分类分级是现代企业组织做好信息安全防护工作的基础,能实现对于数据的更好管理与运用。
公司明确规定了普适的涉密信息表(点击查看《涉密信息表》),如有表中尚未包含的涉密信息,须要求信息安全部更新。
各项目/部门接触到的信息各不相同,需要个性化的分类分级和相应要求。
项目/部门负责人应该组织对本项目/部门接触的信息及时进行梳理和和分类分级,识别出其中的涉密信息,确认涉密信息的密级、传播范围和方式以及可以存放的位置等(本项目/部门自己创建的可自己确定;来自其他部门的,与来源部门确认),并确保项目/部门内部的同事清楚知晓自己所接触的涉密信息的对应规则。对于个人操作违反此基线要求,如造成信息安全事件,将被视为信息安全违规予以处置。
