著名的前黑客凯文·米蒂尼克(Kevin Mitnick)在接受采访时曾表示，尽管很多公司采取了安全防护措施，但这些安全措施在网络犯罪面前仍然显得不堪一击，原因在于他们忽略了网络安全的一个最为薄弱的环节——“人”。
统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，70%-80%是由于内部员工的疏忽或有意泄密造成的。因此，企业的网络安全除了技术控制手段外，更需要加强对“人”的管理。
企业中的“人”，按照安全管理来分可以分为三类：刚进入公司的新员工、在工作岗位上的老员工、即将离职的老员工。下面就分别介绍一下如何从“人”的角度去加强企业的网络安全。
初来乍到的新员工
对于刚进入公司的新员工，无论现在的岗位对他陌生还是熟悉，由于公司的异同，公司的信息安全政策与程序都会有所不同。如果新进的员工仍然用一成不变的思维方式与处事程序去维护企业网络安全，肯定会有或多或少的纰漏，要知道，“千里之堤，溃于蚁穴”，也许就因为这点纰漏使公司蒙受巨大的损失。
在公司员工新老交替时必须注意一下几点：
首先，新员工的筛选，要考虑是否符合职位的信息安全需要，要仔细验证新员工提供的证明材料及文凭是否真实。
其次，与新员工签署的劳动合同中要明确信息安全责任，使新员工从一开始就了解组织对信息安全的要求，这样容易在员工心目中形成较深的印象。
再次，对新员工进行岗前教育与培训，使员工在较短的时间内熟悉组织的信息安全政策与程序。
最后，也是最重要的，就是新员工与老员工的工作交接。工作的交接过程要由部门经理或主管监督下执行，交接内容要形成书面报告，双方签字认可，内容包括员工工作说明书中的所有工作以及涉及公司网络安全的账号与密码等。
轻车熟路老员工
在工作岗位上的员工虽然对于自己的工作已经轻车熟路，但是安全隐患往往就出现轻车熟路上。
“安全工作是一个长抓不懈工作”，因此，对于在职的老员工也要有相应的措施：
首先，对要接触到敏感与机密信息的员工，要与之签署保密协议，要让员工知道敏感与机密信息对组织的重要性，以及违反保密协议要承担的责任。
其次，公司要根据员工的工作制定各岗位员工工作说明书，说明书中要详细描述工作流程的每一环节对信息安全的要求及相应的责任，向员工提供使用组织的软硬件设施的要求及相关规定。
再次，公司要定期组织企业信息安全培训，加强公司员工的企业安全意识，增强员工的企业责任心。
最后，要高度关注对组织心怀不满的员工，他们常常是信息安全事件的策划者与发起者。员工的报复性行为会对组织的信息安全造成极大的损害。组织要完善沟通渠道，鼓励员工把对组织的不满通过正常途径及时地表达出来，并做妥善处理，把危险的动机消灭在萌芽中。