关注网络攻击趋势的人们大都了解，近年来，钓鱼攻击、网络勒索、金融欺诈等类型的攻击不断上升，而传统的技术性入侵反倒处于下降的趋势。这说明黑客们的节操越来越低下，他们比创业者参会见VC还要急躁、还要功利——想快套钱、再套钱……

在这种状态下，网络犯罪分子们不再仅仅满足于利用系统的安全漏洞，而是开始利用系统后面的人类的弱点。这就让传统的基于技术的安全防范手段越来越显得不足，大多数企业开始努力全方位的提升防御水平，以阻止或减少攻击带来的损失。昆明亭长朗然科技有限公司互联网安全分析员董志军说：随着网络犯罪等威胁环境的变化，企业级客户也开始认识到安全问题不再是信息技术问题，更多是管理的问题、是人员的问题。越来越多的首席安全官、首席信息官、首席风险官等等大头儿都开始注重针对人员进行投资，包括强化安全人员的能力，以及持续开展针对员工层的安全意识培训计划。

毋庸置疑，没有充足的安全资源是无法搞好安全的，安全专业人员也需要不断提升自己，以保证能够跟上时代发展的上步伐，能够掌握最新的威胁趋势。这里我所讲的的威胁趋势，要远远超出技术层面的“威胁预警”，那只是些漏洞列表而已。即使将它们包装上大数据、人工智能等等概念，也是不充足的，原因是安全管理水平跟不上，成为短板，再强的技术产品部署也不会成功，至少不能发挥应有的效力。

对信息安全作业流程和规章制度的培训

安全是一项平衡，不可能倾其所有投入到安全里面，也就是说，我们不能像保卫国家领导人那样，为企业的所有人员都配备足够的安全保障。同样，我们也要优化安全资源配置，将有限的安全资源投放到可以获得最大收益的地方。如果您还没有部署防病毒、防火墙这些基本的安全系统，我劝您先部署它们。接下来，该做的不是上更多更昂贵的技术系统，而是建立和改进内部的信息安全作业流程和管理制度，比如补丁修复流程、漏洞扫描流程、终端安全检查流程、信息资产管理制度、安全意识培训制度等等，并确保这些流程和制度得以落地和实施——通过定期的检查、审计和报告。

当然，要实施比较全面的信息安全管理体系那更好，这就需要更多的工作，定期的沟通、协调和培训必不可少，因为一项新的或变化着的作业流程和规章制度，总有它的背景、目标、过程、结果和控制点，这都需要不同角色人员的参与。由此可见，对信息安全作业流程和规章制度的持续性培训是改进信息安全工作的重点。

对网络信息安全技术系统上线的培训

在我的职业生涯中，我看到太多IT部门部署的网络安全系统，在项目完成验收后便扯下来，放到一边的情景。昆明亭长朗然科技有限公司董志军说：这无疑是一种不好公开说的失败，但并不能怪网络安全系统本身不够好，失败的原因在运维和支持的不到位，推翻一个旧体系，建立一个新体系不难，难在运行一个新体系。运维人员往往不像项目实施人员那样能深入了解网络安全系统维护工作的重要意义和操作实践，他们需要获得足够的培训。

还有一点，受新系统影响的用户，如果不理解不接受，那敌对起来，新系统肯定不玩完，也不能充分发挥效力。所以呢，对受影响的用户，也需很多安全技术产品方面的教育培训，就比如安装了终端安全控制软件，您得让用户从内心认可和接受，不然人家很容易明里暗里不支持的，不是卸载禁用，就是找借口说这东西不好，影响工作。

如何制定持续的信息安全意识培训计划

想借购买信息安全意识教育培训内容来改进信息安全管理体系水平的想法比较普遍，这没有什么大错，但却是本末倒置，就比如一家组织想提升内部管理水平，于是买了一车管理书籍放那儿一样，这是方法不对。正确的方法是让安全意识培训计划配合公司的信息安全管理的整体状态和目标，如果不讲安全意识目标，就来战略——选择安全意识宣教产品和服务，让战略实施来促进虚无的目标，那不正是本末倒置嘛！可能您觉得没有那么夸张，只是目标没有那么清晰地被定义出来而已，这个说法可以理解，所以我说过，这样也没有什么大错。但是话说回来，每家组织机构的业务目标、IT环境、业务和安全风险各不相同，抛开这些因素，选择通用型的安全培训内容，显然不是那么合身和适用。

要合身适用，还是得与内部业务流程、与信息环境、与安全制度等结合起来，构建内容，当然这需要较多人力物力，大型公司将这些信息安全意识的内容创作工作外包，是不错的资源配置方式，这就比如去店子里量身定制一套唐装或西服。另一种战略选择方案则是在海量的内容中选择适合自己的，这种方式就像在多个店子里多挑选试穿，也能找到适合自身的。

定期、持续、持续、持续进行信息安全意识教育

做信息安全管理体系ISMS的，有套方法简称PDCA，戴明环，不断改进信息安全意识培训其实并不算是进行持续培训的目标，目标当然是与时俱进，配合公司的信息安全管理、IT与业务风险管理等等。

全球商业态势、信息科技环境、网络威胁、攻击手段在持续演变，信息安全意识教育也得持续地进行，可以根据特殊的安全威胁或事件，进行不定期的信息安全意识沟通。同时，不要忘了，信息安全意识教育培训不是一次性的项目建设，而应该成为一个可不断重复进行和改进的安全流程。将安全意识教育定期（Regular）地进行下去，就成了规章（Regulation），多有内涵的英文单词。

昆明亭长朗然科技有限公司为多家跨国机构创作了“量身定制”式的信息安全意识教育内容资源，获得了一致的肯定和好评。我们也有创作大量模块化的信息安全意识宣教素材，包括动画视频、卡通漫画、知识讲解、互动游戏、课件模块等等，这些宣教素材也被多家国内外知名机构选用，这些客户将有限的安全预算科学地分配和使用，获得了信息安全意识宣教方面的最大收益。

如果您对这个话题有兴趣，或者有需求，都欢迎您通过电话、微信、邮件等来联系我们，洽谈业务合作。即使您只是想来电聊一聊，或者想索取一些简单的教程资源，也是很欢迎的。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

子曰：政宽则民慢，慢则纠之以猛。猛则民残，残则施之以宽。宽以济猛，猛以济宽，政是以和。

对一家企业来讲，重要、敏感甚至机密的信息无疑价值不菲，而它们又不仅仅是存放在内部计算机中的数据，而且也是多多少少会流入到主管机关、客户、供应商、合作伙伴、甚至媒体中的消息，更不用说进入员工们的大脑中的那些与工作相关的知识和技能了。因此，信息存在于多个状态多个维度之中，要控管它们，是一件难事儿，全方位的措施是必须的——除了需要必要的安全技术措施之外，就是针对人员安全防范意识的管理。

对商业领域来讲，防范竞争者取得我们那些宝贵的信息并利用它们取得竞争优势，是企业保持竞争力的一项关键措施。在我们拿起法律武器，筑起知识产权保护网的同时，也拿起了科技武器，强化了黑客入侵防范和数据外汇防范，同样，我们也应该高举“发动群众，群防群治”的智慧武器，在人员层面，防范有意或无意的信息泄露。

在这里，我们不探讨专利和商标的保护，也不讲防火墙和黑客入侵防范的部署，这些都交给法务部门和信息科技部门的专才吧！我们要说的是提升人员的信息安全意识，这不仅是一种认知，更是一种态度和一种能力。比如说，有没有人不知道电话诈骗这事儿呢？相信社会中人、职场中人很少会有，但是为何仍有那么多人会成为电话诈骗的受害者呢？这个问题就值得我们沉思。昆明亭长朗然科技有限公司董志军说：在我看来，很多受害者都有些防诈骗的社会常识，毕竟，通过大众媒体和日常社交等渠道，人们多少都会接受到一些防诈骗知识熏陶的。问题在哪里呢？在态度和能力方面，犯罪分子利用的是人性的弱点，你心虚你轻信你侥幸你贪婪，是你的人生态度不踏实，你的辨别是非能力不足够。对于受害者来讲，这话貌似有些冰冷无情，但是却是逆耳忠言。

说回到针对企业的信息安全意识，这也不仅仅是信息安全知识了，知识不多，尽管这些知识可能并不那么精确、普及、深入人心，尽管这些知识也在不断增长和变化中。更重要的是态度和能力，意识的英文单词是awareness（觉醒、觉悟、认识、自觉、觉察），它是在knowledge（知识、学问）、understanding（认识、理解）和recognition（认可、承认）之上的。

说到底，需要让员工们具备适当的信息安全意识，能够应对诸如电话诈骗、社交工程学、网络钓鱼、商业间谍等针对人性弱点的泄密窃密行动，不是仅仅靠信息安全知识灌输可以的，要通过启发思考，获得认同。只有这样，正确的信息安全态度才能深入人心，人们才能担负起从自己做起，保护信息安全防泄密的职责；也只有这样，人们才能拥有保护信息安全所需的基本能力，并不断将这种信息安全能力用于具体的工作和生活实践之中。

对改进信息安全态度和能力方面有什么建议么？昆明亭长朗然公司董志军表示：在推进信息安全意识宣传活动时，知识内容要广泛、平和，这样更易被人理解和接受。避免两个极端，一、搞一堆法律条文般的规章制度让员工读，读完了考试和签字；二、使用过于花哨、娱乐化甚至讨好员工的、内容空泛的宣传物，无孔不入的推销。在日常信息安全行为和管理方面，注意引导，让高管和中层发挥信息安全影响力，激励员工层积极向上的信息安全行为，稍稍花些奖品奖金方面的投入，就可以换取大量正向的信息安全态度和能力提升。

除了来自业务竞争的驱动力，合规和政策的驱动力也不小。近几年，国家层面越来越重视针对国民的网络信息安全意识宣教、保密意识教育以及防间谍教育，企业也开始改变以往过度注重安全技术、轻视安全制度和人员管理的状态，开始强化信息安全与保密意识培训计划，这是很大的认识方面的转变。这种转变令人欣慰，相信这都会帮助提升企业员工的保密与安全意识，以及企业的商业竞争力。

安全搞好了，公司伟大了，国民开智了，国家富强了，民族复兴指日可待呀。要搞好安全，强化人员的认知、改进人员的态度、提升人员的能力，请您联系我们洽谈合作，共建信息安全保密意识管理体系。