信息安全不仅依赖技术，更需要依赖人

在进行信息安全管理的时候，不仅需要使用各种安全技术，同时，还需要特别注意一个容易忽视的环节——人的安全意识。一个没有安全意识的人，往往会导致整个系统数据的保密性遭到破坏。常见的攻击方式社交工程学就是利用了这一点。

安全意识和相关技能的教育是企业安全管理中重要的内容，其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效，高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。
安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育。

在安全教育具体实施过程中应该有一定的层次性：

1.主管信息安全工作的高级负责人或各级管理人员，重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。

2.负责信息安全运行管理及维护的技术人员，重点是充分理解信息安全管理策略，掌握安全评估的基本方法，对安全操作和维护技术的合理运用等。

3.用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。

当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。

因此，解决信息安全问题不仅要从技术上考虑，技术是安全的主体，更要从组织机构，人员职责，以及管理流程上面来考虑。只有综合了技术、组织和流程，将有效的安全管理实践自始至终贯彻落实于信息安全当中，信息安全的长期性和稳定性才能有所保证。