这使得我们不得不思考一个问题，针对信息系统如何建立我们的安全机制呢？如何才能做到万无一失呢？

　　4.安全文化的引入

　　信息系统的安全虽然有其特殊性，但与其它安全管理相比也有很多共同性，如消防安全、交通安全、生产安全、核安全。它们所管理的对象虽然不同，但其内部基理却有相通之处，这让我们思考是否可以借用其成功的经验用于信息安全的管理呢？安全文化概念的引入对做好核安全工作起到了巨大的作用，这也是人类经历了惨痛的教训后得出的，目前已在核工业得到了普遍的接受。

　　安全文化（safety culture）也有翻译为安全素养的，它强调的是在实践中从上至下全员的安全意识和行为，即各个不同层次的人员、组织都应履行其安全职责。这里特别提出的是，安全不再是某个人、某个组织的责任，而是全体人员、组织，它强调的是整体的作用。简单阐述一下，即国家一层应制定相应的政策、方针，监督、管理机关应根据国家政策制定响应法规、法律、技术文件、导则、规范，组织应有响应的程序、细则来保证执行，个人应有良好的行为和态度。在为达到安全目标这间工作上，虽然各级组织的职责不同，但应有一个共同的目标，即达到安全的目的。这一点是非常重要的，这使得监管和被监管的双方可以为一个共同目标来付出努力，从而使双方有一个良好的态度来对待工作。

　　从组织和个人对安全的态度来看，可简单地分三个阶段，第一阶段是认为安全就是遵从法律、法规的约束，只要实践了这些法律、法规就可以了，这个时候安全是靠外部约束来达到目标的，还处于被动阶段；第二阶段是组织将安全作为组织目标之一，即安全已成为组织自觉努力的方向，这个时候安全已成为组织工作的方向，即使没有外部约束，它仍要努力达到；第三个阶段是人为安全总是可以不断改进的，这一阶段组织已将安全作为持续改进的工作，这使得安全工作进入到一个良性循环中，随着工作不断、自觉的得到改进。

　　对照信息系统安全的现状可以看到，目前信息系统的安全工作还主要集中在信息部门和监管部门，这使得我们的认识还停留在初级阶段，这也是为什么安全工作难做的重要原因，信息部门和监管部门的力量毕竟是有限的，如果得不到全员的支持，安全工作很难做的好。另一个现象可以看到，我们的信息安全还大部分停留在遵从法规和产品堆积阶段，法规要求要有这个产品，就采购一个，还不是从整体分析基础来建立安全体系，这种被动建立的安全是脆弱的、不连贯的，往往是钱花了，效果不好。因此，尽快将信息安全作为组织目标之一得到各级的认可，是做好信息安全非常重要的环节。个人和组织对安全的态度在整个安全体系中发挥着重要作用，这方面给我们两点启示，一个是决不能忽视个人对安全的贡献，片面的通过对个人的控制，而不是正面地激励其对安全的贡献，是做信息安全的一个误区；二是不能过分依赖人的可靠性，要考虑到人因素的不确定性，安全系统在涉及时就应该考虑到人因可能带来的后果，系统应能包容人因出差错所带来的损失。以上两点是相辅相成的，是一个事件的两个方面。