俗话说“春种一粒粟，秋收万棵籽”，“一年之计在于春”，春天是忙碌耕耘的季节，对信息安全行业的从业人员们来讲也是如此。各类组织的安全管理团队纷纷开始制定新的一年的安全目标、战略和实施计划，希冀能积极面对各类不断演变的安全威胁、通过各类安全控管措施，降低组织所面临的安全风险，进而达到保障业务的安全持续运作的总体目标。

然而，想在年终大会上进行工作总结时好好展示一把信息安全部门对于组织业务成功的伟大贡献并不容易，来自各个业务部门的高阶管理层会关注到部门内外相关的严重的计算机信息安全事故、由于安全事件给业务正常运作带来的不利影响如停工时间、客户流失、商业信誉损失、机会损失等等。

虽然我们并不能完全杜绝安全事故在组织内的发生，甚至即便我们的安全团队进行了适当的安全应急响应措施，最大限度地挽回了潜在的损失，仍然不免会被高阶管理层误解，甚至受到批评和指责，问题的根源何在？即使不是高管们刻意刁难，能投入更多的钱，请最牛的高手，实施最为领先的安全系统，也还面临着安全与效率的平衡问题。

不要以为高管们不懂得安全，他们可能确实不会配置防火墙，甚至工作电脑中了毒也还要求助于IT帮助台，然而他们对于您制定安全的控管目标和战略会有很大帮助，想在信息安全方面制定出满足SMART标准的目标并不容易，特别是安全控制目标缺乏行之有效的衡量标准，所以没能进入到组织核心决策层的信息安全管理负责人员永远可能会低一头，因为业务高管可能会轻易给信息安全工作的成绩给出或好或差的判定。

再问一次，问题的根源何在？如果安全管理负责人不想让团队的后期努力付诸东流，一年下来却发现白忙活了一场，就应该现在反思一下。

对于绝大多数组织机构而言，安全不会是核心的商业竞争力，无论如何信息安全管理负责人难挤到核心层，或许您要辩解说核心层的高管才应该为安全负责，这就对了！那您有没有想，既然高管和业务部门要为安全负责，那要专门的信息安全团队和人员干嘛？

好！到这里，聪明的您应该明白问题根源所在了，就是安全不仅是信息部门的事情，安全需要高管以及各个业务部门成员的参与，实际上，保障信息安全是组织所有成员的职责，所以让所有员工都参与进来吧！

信息安全负责人及部门成员再不应该继续像无头苍蝇一样埋头于技术的安全控管系统，应该多与各业务部门沟通协调，帮助他们了解基本的安全理念，帮助他们找出组织层面和部门层面的重要信息资产，帮助他们认识到这些信息资产所面临的安全威胁，帮助他们并和他们一起讨论及制定安全风险控制措施……

有了高阶领导层和业务部门管理层的参与，员工们也更有了主人翁精神，这才是真正在做安全，这种安全是和业务紧密相关的，不管叫风险管理、业务安全、公司治理什么的，总之，信息安全团队的价值得到了更大的发挥，而不再是配置个网络安全系统，控制了员工的网络使用行为，又引起了员工的消极对抗等等这些较低的安全管理行为。

所以，在制定安全战略时，要考虑更多与业务部门管理层及全体用户的沟通和交流，要为此分配资源，要给出足够的安全预算，要制定全体员工的安全意识培训计划……

武汉大学计算机学院副教授、信息安全博士彭国军称：信息安全是三分技术，七分管理！相对于某些安全设备投入而言，加强员工的信息安全意识，使其能够及时感知安全威胁并合理规避风险，更有意义和效果！

有信息安全从业人员觉得安全沟通不容易，用户要么忙忙碌碌重视不过来安全，要么做贼心虚刻意躲避安全……实际上，通过安全意识培训来加强沟通和理解是最佳的途径，昆明亭长朗然科技有限公司在这方面积累了丰富的经验，帮助了众多客户成功地通过安全意识培训，进而建立起组织内的安全文化，增强了企业的凝聚力和竞争力，亭长朗然公司欢迎对这些有兴趣的客户来电来邮件进行咨询。

我们总结一下，制定信息安全管理的目标、战略和计划时，要考虑到信息安全是为了保障公司的业务持续，是为了保护组织的成功，所以，信息安全不单是安全部门的职责，更不能信赖单独的技术控管措施，加强同高管以及各业务部门的沟通协调，Involve他们到一条船上，也让所有员工参与进来，方可共建成功的安全体系，也方可共享信息安全建设的胜利果实。

昆明亭长朗然科技有限公司专注于信息安全意识培训素材资源的创作，我们也为各类型的客户提供安全意识咨询与技术服务，欢迎有兴趣和需要的客户及伙伴们联系我们，洽谈业务合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

会议主题： 全员信息安全意识培训计划讨论

参会人员：

•    李明 (首席信息安全官CISO) – 主持人
•    张丽 (员工培训总监HRD)

会议时间： 5月27日 10:00 – 12:00

会议地点： 公司会议室

记录人： 李明

1. 开场与议程确认 (10:00 – 10:10)

李明： 早上好，张丽。感谢你抽出时间参加这次会议。正如你所知，信息安全对我们公司至关重要，随着威胁形势日益复杂，提升全员的信息安全意识已经刻不容缓。这次会议的主要目的是共同讨论并敲定一个全面的、有效的全员信息安全意识培训计划。

张丽： 早上好，李明。我也非常重视信息安全工作。我们培训部一直致力于提升员工技能和知识，这次培训计划我们会全力配合，确保员工充分了解并掌握信息安全相关的知识和技能。

李明： 很好。今天的议程包括：

•    评估当前信息安全风险状况及培训需求；
•    讨论培训计划的目标、内容、形式和频率；
•    确定培训资源、预算和时间表；
•    明确培训效果评估方式和持续改进机制。

张丽： 没问题，这个议程很周全。

2. 信息安全风险评估与培训需求分析 (10:10 – 10:40)

李明： 首先，我想简要介绍一下我们当前面临的信息安全风险状况。近一年来，我们检测到网络钓鱼攻击数量增加了30%，勒索软件攻击数量翻倍。内部数据泄露事件虽然数量较少，但造成的损失也相当可观。这些事件表明，员工在信息安全方面普遍存在一些薄弱环节。

具体来说，我们发现以下问题：

•    钓鱼邮件识别能力不足： 员工容易点击恶意链接或打开附件，导致恶意软件感染或数据泄露。
•    密码安全意识淡薄： 仍有部分员工使用弱密码或在多个平台使用相同密码，增加了账号被盗的风险。
•    数据处理不规范： 员工对敏感数据的分类、存储和传输缺乏明确的规范，容易造成数据泄露。
•    终端安全意识薄弱： 员工对个人电脑、手机等终端的安全设置和维护意识不足，容易受到病毒、恶意软件的攻击。
•    物理安全意识不足： 办公场所的门禁、文件管理等物理安全措施执行不到位，容易造成数据丢失或泄露。
•    社交工程攻击防范能力弱： 员工对社交工程攻击的识别和防范能力不足，容易被攻击者利用。

基于这些风险和问题，我认为我们需要一个全面、系统的信息安全意识培训计划，来提升员工的整体安全水平。

张丽： 听完你的介绍，我感觉这些问题确实很突出。我们之前做过一些简单的安全知识宣传，但效果并不明显。这次需要一个更深入、更系统的培训计划，针对不同风险点进行有针对性的培训。

李明： 没错。我们需要从根本上改变员工的安全意识，让信息安全成为他们日常工作的一部分。

3. 培训计划的目标、内容、形式和频率 (10:40 – 11:20)

李明： 接下来，我们讨论一下培训计划的具体内容。我认为培训的目标应该包括：

•    提高员工对信息安全威胁的认知： 让员工了解常见的网络攻击手段、攻击后果以及如何识别和防范这些威胁。
•    强化员工对安全政策和流程的理解： 确保员工了解公司的安全政策、制度和流程，并严格执行。
•    培养员工的安全操作习惯： 帮助员工养成良好的安全操作习惯，例如使用强密码、定期备份数据、安全浏览网页等。
•    提升员工应对安全事件的能力： 培训员工在发生安全事件时如何及时发现、报告和处理。

基于这些目标，我认为培训内容应该涵盖以下几个方面：

•    网络钓鱼识别与防范： 如何识别钓鱼邮件、短信和网站，避免点击恶意链接或泄露个人信息。
•    密码安全： 如何创建和管理强密码，避免使用弱密码或重复密码。
•    数据安全： 如何保护敏感数据，避免数据泄露或丢失。
•    终端安全： 如何保护个人电脑、手机等终端的安全，避免病毒、恶意软件的攻击。
•    物理安全： 如何保护办公场所的物理安全，避免数据丢失或泄露。
•    社交工程攻击防范： 如何识别和防范社交工程攻击。
•    安全事件报告流程： 如何及时报告安全事件。
•    合规性培训： 涉及的行业法规，如《网络安全法》、《个人信息保护法》 等。

张丽： 这些内容涵盖了大部分关键的安全风险点。我认为可以采用多种培训形式，例如：

•    在线学习： 通过在线平台提供学习资料、视频课程和测试，方便员工随时随地学习。
•    课堂培训： 组织面对面的课堂培训，由安全专家讲解安全知识和技能。
•    模拟演练： 组织模拟钓鱼邮件攻击、勒索软件攻击等演练，让员工在真实场景中学习应对方法。
•    安全知识竞赛： 组织安全知识竞赛，激发员工学习兴趣。
•    宣传海报和邮件： 定期发布安全宣传海报和邮件，提醒员工注意安全。

李明： 这些形式都很好。我建议可以根据不同岗位的风险等级和员工的安全意识水平，制定不同的培训计划。例如，对技术人员可以进行更深入的技术安全培训，对普通员工可以侧重于通用安全知识和操作技能。

张丽： 这个建议很好。我们可以采用分层培训的方式，确保每个员工都能得到有针对性的培训。

李明： 至于培训频率，我认为每年至少进行一次全面的安全意识培训，并定期进行安全知识更新和提醒。

4. 培训资源、预算和时间表 (11:20 – 11:40)

李明： 接下来，我们讨论一下培训资源、预算和时间表。

•    培训资源： 我建议可以聘请专业的安全培训机构或安全专家来提供培训服务。我们也可以开发自己的在线学习平台和培训课程。
•    预算： 我初步估计，这次培训计划的预算大约在5万元左右，包括培训费用、教材费用、宣传费用等。
•    时间表： 我建议在下个月启动培训计划，先进行在线学习，然后组织课堂培训和模拟演练。具体的培训时间可以根据员工的工况进行安排。

张丽： 5万元的预算是合理的。我们可以与几家安全培训机构联系，比较他们的报价和服务。我会在两周内制定详细的培训计划和时间表，并提交给你审核。

5. 培训效果评估和持续改进机制 (11:40 – 12:00)

李明： 最后，我们讨论一下培训效果评估和持续改进机制。

我认为，培训效果评估应该包括以下几个方面：

•    知识测试： 在培训前后进行知识测试，评估员工对安全知识的掌握程度。
•    行为观察： 观察员工在日常工作中是否能够遵守安全规定和流程。
•    安全事件统计： 统计安全事件的数量和类型，评估培训对安全事件的减少效果。
•    员工反馈： 收集员工对培训的反馈意见，了解培训的不足之处。

张丽： 这些评估方法都很有效。我们可以将评估结果用于改进培训内容和形式，确保培训的有效性。

李明： 是的。我认为，信息安全意识培训是一个持续改进的过程。我们需要定期评估培训效果，并根据评估结果进行改进，确保员工的安全意识能够不断提升。

总结：

李明： 今天的会议非常成功。我们共同讨论并确定了一个全面的、有效的全员信息安全意识培训计划。张丽，感谢你积极参与讨论并提供了宝贵的意见。我期待你的详细培训计划和时间表。

张丽： 谢谢你，李明。我会在两周内完成详细的培训计划和时间表，并提交给你审核。我们会全力配合，确保培训计划的顺利实施。

会议结束。

此会议记录是基于事实进行虚构的，昆明亭长朗然科技有限公司外派安全意识专员李明到客户现场担任虚拟首席信息安全官（CISO），在客户的人力资源培训与发展总监张丽的大力支持下，开启了成功的信息安全意识培训活动。如果您对这个话题有兴趣，欢迎不要客气地联系我们，来聊一聊相关的话题。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898