背景

在当今数字化时代，信息安全已经成为企业运营的关键因素。随着网络攻击和数据泄露事件的频繁发生，提升全员信息安全意识显得尤为重要。作为昆明亭长朗然科技有限公司外派到企业的虚拟资深首席信息安全官（CISO），李明（李总）需要与人力资源培训总监杨华（杨总）进行深入讨论，制定一套全面且有效的信息安全意识培训方案。

会议对话

李总（李明CISO）：杨总，我们今天的会议主要是讨论全员信息安全意识培训方案。我相信你也意识到，信息安全对我们企业的重要性不言而喻。

杨总（杨华HRD）：是的，李总。信息安全确实很重要，但我们也有很多其他培训需要进行，时间和资源有限。我们得找到一个平衡点。

李总：我明白了。那么，我们先来看看目前的情况。根据最近的安全评估报告，我们公司有50%的员工对基本的信息安全知识知之甚少。这意味着一旦发生安全事件，我们的风险会非常高。

杨总：我知道这个问题存在，但我们的人力资源部门也有很多其他培训任务，比如职业发展、员工素质提升等。我们的资源有限，不能全部投入到信息安全培训上。

李总：杨总，我理解你的难处，但信息安全问题不是小事。一旦发生数据泄露或网络攻击，对公司的损失可能是毁灭性的。我们需要全员参与，提升整体的安全意识。

杨总：李总，我不是不重视信息安全，但我们也要考虑到其他培训的需求。比如，我们的销售团队需要提升沟通能力，技术团队需要学习最新的技术技能。我们的资源有限，不能只关注信息安全。

李总：杨总，我们可以找到一个平衡点。信息安全培训可以与其他培训结合起来，形成一个整体的培训体系。比如，我们可以在每个月的培训中安排一到两次信息安全主题的培训。

杨总：李总，你说的有道理，但我们的员工已经有很多培训任务了。如果再增加信息安全培训，他们可能会觉得负担过重。

李总：杨总，我们可以采用多种形式的培训，比如线上课程、微课、视频教程等，这样可以减少对员工时间的占用。此外，我们可以与其他部门合作，共同制定培训计划，确保各部门的培训任务协调一致。

杨总：李总，你的建议听起来不错，但我们的人力资源部门的资源有限，可能无法满足所有的培训需求。我们需要一些具体的方案和支持。

李总：杨总，我理解你的困难。我们可以考虑从以下几个方面入手：

1. 制定详细的培训计划：我们可以制定一个详细的全年培训计划，明确每个月的培训内容和时间安排，确保信息安全培训与其他培训任务协调一致。
2. 利用现有资源：我们可以利用现有的培训资源，比如内部讲师、外部培训机构等，确保培训内容的质量和多样性。
3. 员工参与度：我们可以通过问卷调查、反馈机制等方式，了解员工的培训需求和意见，确保培训内容和形式符合员工的实际情况。
4. 培训效果评估：我们可以定期对培训效果进行评估，了解员工的学习情况和安全意识的提升情况，及时调整培训计划。

杨总：李总，我理解你的意思了。我们可以通过合作，共同制定一个全面的信息安全培训方案。我们的人力资源部门会全力支持，确保培训的顺利进行。

李总：杨总，感谢你的理解和支持。我们一起努力，提升全员的信息安全意识，保障公司的信息安全。

全员安全意识培训方案

一、培训目标

1. 提升全员信息安全意识，减少因员工安全意识不足导致的安全事件发生。
2. 确保员工掌握基本的信息安全知识和技能，能够识别和应对常见的安全威胁。
3. 建立长期的信息安全培训机制，持续提升全员的安全意识。

二、培训对象
全体员工，包括管理层、技术人员、行政人员等。

三、培训内容

1. 信息安全基础知识：包括常见的网络攻击手段、数据泄露风险、密码管理等。
2. 个人信息保护：包括如何保护个人信息、避免社交工程攻击等。
3. 公司信息安全政策：包括公司的信息安全政策、数据保护规定等。
4. 实际案例分析：通过分析实际的安全事件，帮助员工了解安全威胁的现实性和严重性。
5. 应急响应：包括如何应对安全事件、报告流程等。

四、培训形式

1. 线上课程：通过线上平台提供信息安全课程，员工可以根据自身情况自主学习。
2. 线下讲座：定期邀请信息安全专家进行线下讲座，深入讲解信息安全知识。
3. 模拟演练：通过模拟安全事件，帮助员工掌握应急响应技能。
4. 微课视频：通过短视频形式，传播信息安全知识，提升员工的学习兴趣。
5. 问答互动：通过问答互动，解答员工在学习过程中遇到的问题，确保学习效果。

五、培训时间安排

1. 每月一次线上课程：每个月安排一次线上课程，内容包括信息安全基础知识、个人信息保护等。
2. 每季度一次线下讲座：每季度安排一次线下讲座，邀请信息安全专家进行深入讲解。
3. 每半年一次模拟演练：每半年进行一次模拟演练，帮助员工掌握应急响应技能。
4. 定期问答互动：定期进行问答互动，解答员工在学习过程中遇到的问题。

六、培训效果评估

1. 员工问卷调查：通过问卷调查，了解员工的学习情况和培训需求，及时调整培训内容。
2. 知识测试：定期进行知识测试，评估员工的学习效果，确保培训的质量。
3. 安全事件统计：统计安全事件的发生情况，评估培训效果，及时调整培训计划。

七、培训资源

1. 内部讲师：利用公司内部的信息安全专家，提供培训讲座和指导。
2. 外部培训机构：与外部培训机构合作，提供专业的信息安全培训课程。
3. 线上平台：利用线上平台提供信息安全课程，员工可以根据自身情况自主学习。

八、培训支持

1. 领导支持：公司领导高度重视信息安全培训，提供必要的资源和支持。
2. 部门合作：各部门积极配合，确保培训的顺利进行。
3. 员工参与：鼓励员工积极参与培训，提升自身的信息安全意识。

结论

通过李总和杨总的深入讨论，最终达成了一致，制定了全员信息安全意识培训方案。该方案不仅考虑到信息安全的重要性，还结合了其他培训任务，确保各部门的培训需求协调一致。通过多种形式的培训，确保全员的信息安全意识得到提升，保障公司的信息安全。

昆明亭长朗然科技有限公司专注于信息安全意识培训素材资源的创作，我们也为各类型的客户提供安全意识咨询与技术服务，欢迎有兴趣和需要的客户及伙伴们联系我们，洽谈业务合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

前几天同一位网络安全老同志聊起来，自然要推荐我司的安全意识产品及服务。对方深知安全意识的重要性，可是提到花钱，便连连摇头，称：有家传统的老牌网络安全厂商免费赠送信息安全意识素材给他们，当然前提是要购买该厂家的新型网络威胁防护装备或者安全技术保障服务。

很自然，老牌网络安全厂商根本看不上信息安全意识这项业务，也无心在这上面长期精心专研。当初创作了一些培训宣教内容，可能是受到行业竞争或整体环境的影响的跟风行为。现在看来，这些知识性的内容见效较慢，来钱也不快，特别是在很多国人觉得知识应该免费的观念之下，不容易成为一个新的“赚钱中心”。于是，该厂商转念一想，不如将相关内容素材作为赠品，作为安全技术的补充进行搭售。可能该厂商也有一些不光彩的想法，比如：万一安全技术系统或安全服务失效了，还可以说是客户的安全意识薄弱，因为没有很好地使用他们赠送的安全意识宣教素材。

为什么老牌厂商还会有这种不光彩的想法呢？昆明亭长朗然科技有限公司网络安全研究员董志军说：说起信息安全的成功要素，并非技术管控措施一项，更多的是管理，即流程、人员和技术的综合作用。即使人才济济非常重视技术产品开发的老牌网络安全厂商，也几乎都无一例外遭遇过多起严重的信息安全事故。因此，对于技术措施的不足之处非常明白，也非常想提升信息安全管理水平，好处无需多言：一方面强化内部管理，另一方面尝试对外服务。只是内部的安全极客们往往不服管理，再说制度过于严格容易造成人才流失；对外搞安全管理咨询和服务也不容易，小厂商怎么也赶不上大客户的企业管理水平，因此不好靠忽悠客户来钱。于是老牌的安全厂商干脆集中精力，极力研制及开发更多技术方面的安全控制产品，以期弥补和替代安全管理特别是流程管理和人员管理方面的需求。

这种做法有些有效、有些剑走偏锋、甚至也有些饮鸩止渴，最终造成安全业界越来越重视技术产品，而广大用户特别是社会大众得不到基本的安全知识科普。全社会层面的悬殊的安全认知水平差异，造成了扭曲的网络安全空间世界，也给网络诈骗分子很大的利好机会，当然网络黑客团体更是乐开了怀，他们知道终端用户的弱点明显，而且很多业务流程和管理体系有漏洞，这些弱点或漏洞都很难得到修复，很容易被利用。

最近“护网”运动非常热火，网络安全“攻防比赛”活动也很受欢迎，这对于提升安全界的技术水平非常有帮助。不过，分析多数的攻击成果，我们可以看见：利用社会工程学、网络钓鱼、诈骗邮件等方式的渗透测试占了很大比重，这些基本上可以划为人性的弱点；针对业务系统的攻击，主要集中在网站代码中的逻辑或流程错误，这显然也是软件开发管理的问题，以及开发人员的安全意识不足。很多网络安全厂商本身的产品也被成功渗透，关键还是管理和运维安全问题，例如：要么默认密码一直没有被更改，要么其运作的支撑环境被发现了安全漏洞而没有得到及时的更新。归根结底，网络安全厂商深知纯靠安全技术永远是不够的，然而在行动中，还是不断重复地用一个新的网络安全产品去控管另一项网络安全产品的弱点，从管理的角度看，这个逻辑多么可笑啊！然而从经济的角度来看，这种商业逻辑是再正常不过的了。您可能会问：难道客户智力低下吗？您这显然是外行的问题和不着边际的假想，您可以说他们是懒散的官大爷，但是永远不要低估甲方的聪明才智。

言归正传，保护数据应成为所有组织范围的信息安全意识计划的一部分。安全意识计划的交付方式应适合组织的整体文化，这样才能最大程度地影响人员的安全大脑。用于保持高水平的安全意识应作为一项持续进行的计划进行，要确保不仅要每年度每季度提供知识培训和宣传活动，更需要每月每周甚至每天都有安全意识流入。确保员工意识到数据安全的重要性对于安全意识计划的成功至关重要，并将有助于满足各种法规和标准的要求。

开发正式的安全意识计划的第一步是组建一个安全意识团队。该团队负责安全意识计划的开发、交付和维护。安全意识团队的规模和成员将取决于每个组织的特定需求及其文化，小规模机构内一人牵头各部门领导兼职足亦，大规模复杂的需求需要至少三五人员的专职工作团队加上各部门的领导以及安全意识联络员。

安全意识可以通过多种方式提供，包括课堂形式的培训、基于计算机的培训、基于移动设备的学习、电子邮件沟通、纸质的期刊文章、电子公告通知、海报漫画等。将网络安全意识内容定向到适当的受众，让其阅读并理解对于确保信息安全非常重要。通过多个通信渠道传播安全意识培训，组织可以确保员工以不同的方式多次接触相同的信息。通过将内容材料和沟通渠道定位于相关人员，安全意识团队可以改善对安全意识计划的采用。有效的安全意识计划的一个关键要素在于以及时有效的方式将相关内容材料交付给适当的受众。

基于角色的安全意识为组织提供了参考，以根据人员的工作职能对人员进行适当的培训。为包括管理层和基层员工在内的所有人员建立最低级别的意识基线是安全意识计划的工作起点。在确定基于角色的安全意识计划时，首要任务是根据个人在组织中的工作职能将其分组。通过分配安全意识责任计划，将职责细化到部门和人员，可以很大程度确保该计划的成功。比如：信息安全部门创作或采购适当的知识内容，建立线上学习平台和定期发布微信内容，各部门领导组织内部的课堂式培训，发动部门员工参加线上学习和微信移动学习，并加以考核；信息安全部门印制期刊漫画，各部门安全协调员进行部门内分发和张贴等等。扎实的意识计划将帮助所有人员识别威胁，将安全视为习惯于，并乐于报告潜在的安全问题。

高阶管理团队对安全意识计划的支持对于成功至关重要。部门（中层）管理人员应该：

• 鼓励下属人员积极参与安全意识学习活动，并在工作中进行实践。
• 对适当的安全意识流程和做法进行表率，以强化安全意识学习。
• 将安全意识指标纳入管理和员工绩效评估之中。

如上所述，建议根据角色和组织的文化确定培训内容。安全意识团队可能希望与适当的业务部门进行协调，以对每个角色进行分类，以确定这些特定工​​作职责所需的安全意识培训的水平。这对于内容开发至关重要，以避免员工“过度培训”或“培训不足”。除了一般的安全意识培训以外，建议人员根据其在组织中的角色，触及信息安全的一般概念，以促进整个组织范围内的信息安全。当然，为了确保意识影响行为，安全意识培训还应包括有关违反信息安全政策的后果的详细信息。

此外，管理层不仅应了解信息资产未能得到充分保护可能带来的金钱损失，而且应了解声誉（品牌）损害对组织造成的持久伤害。管理层需要充分了解安全要求，以讨论和加强安全要求，并鼓励人员遵循这些要求。建议对管理安全意识进行在线式的培训以及课堂式的研讨会互动，包括与责任领域相关的特定内容，尤其是可以访问敏感数据的领域。总之，具有安全意识的管理层可以更好地了解组织信息的风险因素。这些知识有助于他们做出与业务运营相关的明智决策。具有安全意识的管理人员还可以协助制定数据安全策略、安全作业流程和安全意识培训。

培训材料应可用于组织的所有领域，例如公司内部网站、微信企业号等等。选择在安全意识培训计划中使用哪些材料高度依赖于组织。每个组织在选择用于安全意识培训的材料时都应考虑其独特的文化因素。

度量标准可以是衡量安全意识计划成功与否的有效工具，并且还可以提供有价值的信息以使安全意识计划保持最新和有效。根据规模，行业和培训类型等因素的不同，用于衡量安全意识计划成功与否的特定指标将针对每个组织而有所不同。通常的做法是通过在线的考核，以及线下的走访和桌面安全检查来实现。

昆明亭长朗然科技有限公司是定制信息安全培训课程的领先提供商，这一点让我们与众不同。我们通过提供多种灵活的设计、制作与技术服务，来为帮助客户成功地发起安全意识宣教活动，进而为工作人员做好安全知识和能力的准备，以便保护组织机构的成功。我们也创作了大量的安全意识内容资源，安全培训负责人员可以从中，选择符合组织机构实情的培训主题。部分叙述性文本（比如单位名称）、音频和图形（比如单位LOGO、整体配色）都可以自定义，以适合组织的需求。我们的课程也会经常更新，以便学员能够及时掌握迅速变化的信息安全形势和挑战，以确保我们的客户能够应对各类新型信息安全威胁。欢迎有兴趣或有需求的客户及伙伴联系我们，获得作品预览，洽谈采购及商务合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898