社會責任，是指企業在賺取利潤時，應該主動承擔對環境、對社會和利益相關者的責任，做對員工、對社會道德負責任的企業。制訂SA8000標準的宗旨是為了保護人類基本權益。SA8000標準的要素引自國際勞工組織關于禁止強迫勞動、結社自由的有關公約及其它相關準則、人類權益的全球聲明和聯合國關于兒童權益的公約。

SA8000即“社會責任標準”是Social Accoutability 8000的英文簡稱，是全球首個道德規范國際標準，目的是確保供應商所供的產品符合社會責任標準的要求。被譽為行業里最具影響力和最有公信力的審核項目，這是大家普遍形成的共識。無論品牌商，零售商，國際買家乃至第三方審核機構，在涉及到自身企業管理，或者是供應商的管理，都致力于接軌，乃至優于SA8000所提出的各項標準。

SA8000認證和一般社會責任審核最大的不同在于：分為兩個階段，第一階段審核和第二階段審核。在工廠社會責任管理體系運作良好的情況下，大概兩個月之內可以出具最終結果，旨在提供基于國際勞工權益規范和標準采用者所在國家勞工法律的標準，以保護和協助所有在企業控制和影響范圍內的生產或提供服務的人員。

當今的中小企業與較大型的企 業組織一樣，都開始廣泛的利用信息化手段提升自身的競爭力。信息設施可以有效提高中小企業的運營效率，使中小企業可以更快速 的發展壯大。然而在獲得這些利益的同時，給許多大型企業造成重大損失的信息安全問題同樣也在困擾著中小企業群體。雖然中小企 業的信息設施規模相對較小，但是其面臨的安全威脅卻并不比大型企業為少。我們下面就來看一看中小企業在信息安全方面的幾點主要需求。

防范惡意攻擊 

　　對于利用互聯網接入來開展業務或者輔助工作的企業來說，駭客的惡意攻擊行為無疑是 最令人頭痛的問題之一。已有大量報道和統計資料顯示企業正為形形色色的攻擊行為付出高昂的代價，而這些被曝光的案例尚只是冰 山一角。

　　由于大多數企業擔心公布這些信息會對自身形象造成負面影響，所以我們相信仍舊有大量的信息 安全事件沒有為大眾所知曉。而另一方面，因為很多企業沒有精力處理頻繁發生的攻擊事件，甚至大部分由于惡意攻擊造成的損失都 沒有被正確估算。我們從一個側面可以了解到目前惡意攻擊已經演變到何等劇烈的程度，那就是現在企業對于駭客攻擊所持的態度。

　　僅僅是幾年前這些事件對于我們來說還是那么的遙遠與神秘，而現在當網絡發生問題時惡意攻擊已經成為 一個主要的被懷疑對象了。在中小企業的信息環境里，攻擊行為相對來說并不特別猛烈，或者說小型的信息設施相對較少受到有針對 性的、強度很大的攻擊。但是，目前的中小企業所選用的軟件產品存在著大量的安全漏洞，而針對這些漏洞的自動化攻擊工具已經相 當的民間化了。

　　對于沒有受到過濾保護的網絡節點來說，每時每刻都要承受大量網絡攻擊的考驗。即使這 些攻擊是漫無目的的，但仍有很大可能突破那些疏于管理的計算機設施。從某種程度上來講，這些不講究策略的攻擊者對中小企業的 安全威脅要更大一些。

　　計算機病毒這樣的威脅更能體現這一問題。當下傳播最為廣泛的蠕蟲類病毒和很多 攻擊程序一樣，利用系統的安全漏洞進行傳播，而且并沒有特定的感染目標。對于一些蠕蟲病毒來說，在一個小時的時間里就可以輕 松的感染數以十萬計的計算機。為了解決網絡攻擊方面的安全隱患，企業需要進行很多工作。

　　單純的應用 安全防護產品是無法避免這類攻擊行為的，企業還必須執行補丁管理等輔助的安全管理措施。在中小企業中，進行這些工作有很多先 天性的“阻礙”。資源不足、IT設施管理松散、員工行為隨意性較強等問題給信息安全工作提出了很大的挑戰。而作為應 對的不僅僅是企業單方面的意識提高，更適合中小企業實際情況的安全防御產品目前也存在著很大的空白。雖然近兩年涌現的很多整 合式的信息安全設備在總體成本和易用性上提供了很多吸引中小企業的特性，但是還不足以解決目前中小企業在信息安全領域所遭受 的困境。

誤用和濫用 

　　對信息設施的誤用既像惡意攻擊的孿生兄弟又與其存在明 顯的因果關系。因為我們探討的信息安全問題并不僅僅包括駭客行為所帶來的經濟及非經濟損失，只要對信息設施的運行造成障礙的 行為都能夠被劃歸到信息安全范疇進行管理。

　　在很多時候，企業的員工都會因為某些不經意的行為對企業 的信息資產造成破壞。尤其是在中小企業中，企業員工的信息安全意識是相對落后的。而企業管理層在大部分情況下也不能很好的對 企業信息資產做出鑒別。從更高的層次來分析，中小企業尚無法將信息安全的理念融入到企業的整體經營理念中，這導致了企業的信 息管理中存在著大量的安全盲點和誤區。

　　這類問題使得信息安全廠商不得不頻繁重申服務對于信息安全業 務的重要性。這既可以看作是國內信息安全產業一種進步的表現，同時又體現出我們在信息安全理念建設方面的巨大差距。好在除了 供應商之外，用戶也已經深刻的認識到同樣的問題，相信經過廣泛的培訓和教育，這種現狀可以被很好的改善。

　　除了對信息設施的錯誤使用之外，濫用的問題在近一段時間表現的更為突出一些，并且由于濫用問題更加模糊和難以界定 ，使企業在處理類似問題的時候頗顯捉襟見肘。雖然近年來被廣泛關注的P2P傳輸問題并不是一個典型的信息安全問題，但由于這些傳 輸流量常常嚴重干擾企業的正常通信流量而且也存在著一些泄漏企業信息的風險，所以這確實是信息設施濫用問題的一個較好的示例 。

　　從技術的角度處理P2P傳輸問題并沒有太大的難度，但是面對員工權利和隱私等方面的爭論，企業對P2P 傳輸的管理問題已經上升到了道德問題的層次。在中小企業里，由于制度化管理方面的相對弱化，在處理信息設施濫用乃至誤用問題 的時候會加倍艱難。這也是在中小企業環境中實施信息安全所迫切需要解決的問題。

總結 

　　綜合上述的問題，中小企業的信息安全需求主要體現在迫切需要適合自身情況的綜合解決方案。隨著時間 的發展，中小企業所面臨的安全問題會進一步復雜化和深入化。而隨著越來越多的中小企業將自己的智力資產建構在其信息設施基礎 之上，對于信息安全的需求也會迅速的成長。我們所熱切希望的就是，在這種需求產生爆炸性膨脹的前夕，所有的廠商都準備好了足 夠的武器去贏得這場戰爭。