如果没有适当的实施员工意识和培训的政策、程序和工具，就根本无法实施有效的信息安全计划。这是因为，学习通常包含三个关键要素：

1.意识，用于激励和提醒学员（员工、受众），了解对他们的期望。
2.培训，用于教授技能或掌握所需工具的过程。
3.教育，是支持或作为职业发展过程所需的专门、深入的教学。

了解了学习的三个要素，方能理解人员在信息安全计划中所扮演的角色和作用，以及如何利用这些要素来建立意识计划，如何细分学员以及如何确保使用恰当的安全知识信息内容，如何能采取适当的手段有效地将信息内容传达给学员。

信息安全价值管理

信息安全相关政策、标准、流程和规则的开发仅仅是有效的信息安全计划的开始。如果没有适当的规章来确保员工了解他们对组织信息资产的权利和责任，那么再强大的安全体系结构将变得效率低下。

安全专家经常在实施“完美”的安全计划之后，很惊讶地发现竟然失败了，原因在于他们忘记了将安全控制产品或技术“售卖”给他们的用户。对此，昆明亭长朗然科技有限公司信息安全管理体系实施顾问专员董志军说：所有需要用户参与或者会影响到用户的安全管控产品或技术，都需要获得用户的理解和支持才能发挥预期的效力。因此，为了获得成功，信息安全专业人员必须找到一种将产品和技术“售卖”给用户的方法。

多年以来，信息安全专家们都自认为是企业的管理人员，希望部署更多安全管控设备，比如防病毒、防火墙管理、终端接入管理、上网行为管理、账户权限管理、补丁漏洞管理和入侵检测管理等等。殊不知，企业中几乎所有员工都是某种意义上的管理人员。员工们都会认为自己已经学会了工作所需要的知识，所有的“管理”工作都是在为组织增加价值，就像大的高管们的任务是确保实现企业的业务目标和使命一样。然而，信息安全专业人员没有做到的，也往往是最需要做的就是“售卖”信息安全服务。

信息安全专家们必须检查安全服务，例如风险分析、政策、流程、标准、漏洞评估和业务连续性计划等等，并确定每种服务如何支持业务目标。在提高效率之前，您需要评估团队提供的沟通服务，并对“售卖”策略进行管理。简单说，现在的用户“很难伺候”，安全专家们必须拿出安全控管的商业价值，方能让用户理解、接受并配合相关的安全控管。否则，用户们只需说一句“这破烂儿安全系统阻碍了业务的成功运作……”，就足以让信息安全专家们无言以对，进入退缩和懊悔的状态，进而让安全管控设备下线。

安全意识计划的首要目的便是将安全价值信息传达给人们。

安全计划的关键要素

机密性、完整性和可用性是信息安全的三要素，也是安全计划的驱动力。对于可用性而言，有效的信息安全计划致力于确保组织的信息及其处理资源在授权用户需要时可用。机密性和完整性的目标并不仅限于将坏人拒之门外。它们还可以确保有业务需求的人员可以访问执行其工作所需的资源。机密性可确保建立控制和报告机制，以快速、准确地检测问题或可能的入侵。

有效的安全计划必须考虑组织的业务目标和使命，并确保尽可能安全地实现这些目标。了解用户的需求是建立有效的信息安全计划的第一步。意识计划必须加强这些目标，只有这样，才能使安全计划更易为员工们所接受。

与安全政策、标准和流程一样重要的是安全计划的体系结构和支持安全计划的基础结构，不过，麻烦的问题是，在现实中，大多数员工并没有时间，也不希望阅读这些文档。对此，昆明亭长朗然科技有限公司信息安全管理体系实施顾问专员董志军说：这不见得完全是坏事儿，要从高高在上的战略目标和神圣使命，下沉到影响日常工作效率的安全控管细节和安全要求，需要将有进行有效拆解和关联的智慧与技艺。

信息安全计划有五个关键要素，必须展示给受众们，它们包括：

1.信息安全是业务流程的重要组成部分的概念
2.确定执行安全计划的人员的不同角色和职责
3.确定信息以及应用程序、系统和业务流程的安全敏感性
4.实施基本的安全概念例如职责分离、需要了解和最小特权原则的业务原因
5.高级管理层对信息安全计划目标的支持

安全意识计划的次要目的便是将安全计划之关键要素传达给人们。

行动起来推动安全计划

在开始向同事们“售卖”信息安全之前，您得先将其出售给自己和高管，然后才能推及用户。

首先，您需要说服自己，所做的事情会为组织增值。在谈及有关信息安全问题的课程时，我总是要求安全专业人员完成一件事，以帮助组织实现其业务目标或使命。这就是应以非安全、非技术、非审计的术语，使用业务部门经理听得懂的语言来表达信息安全价值声明。

其次，许多信息安全专业人员直接或间接地向被执行者（受安全控管措施影响的人员）展开营销，这会引起员工们的抵触，就如同他们收到了垃圾邮件或骚扰电话一样。正确的方式是通过高管（如首席执行官、首席财务官、首席信息官、首席安全官等）来失去。这样，才更有其“合法性”和“权威性”，因为员工们相信高管们的要求是支持组织的业务目标和使命的。

然后，确保用户们及时、有效地访问信息安全服务资源，告知受众您是如何在帮助他们安全地完成自己的工作。如同您应对管理层那样，您也必须将这些安全服务以用户们能理解的语言呈现出来。切记：安全要求或审核要求不是业务流程的一部分，只有业务目标或任务要求才是。因此，当我们在提供信息安全服务时，必须使用管理层使用的术语。

安全意识计划的第三目的便是将安全要求以人们懂的语言传达给人们。

总结语

信息安全的目标必须服务于业务目标，信息安全不是闭门造车搞技术控制，而是为了保护信息资产的管理活动，不管是从信息安全价值管理、目标管理还是过程管理来讲，信息安全意识计划都必不可少。本文是指导性的论述，如果您对我们的观点有看法，欢迎不要客气地联系我们。昆明亭长朗然科技有限公司多年来专注于帮助各类型的组织机构强化信息安全意识沟通，我们有大量的信息安全意识宣教素材资源，欢迎有兴趣的客户及合作伙伴联系我们，洽谈业务方面的合作。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

信息安全的重要性不仅仅体现保障国家安全的网络空间安全层面，更是实体企业保障竞争力的现实需要。在信息安全产品和技术层面，尽管在业界存在不少争议和非议，奇虎360借助互联网的优势，通过提供免费的最基础的终端安全保护工具，迅速打破了传统的终端安全特别是防病毒软件被市场上几十家大小厂商瓜分的利益分配格局。

而在信息安全管理咨询服务领域，由于不需像防病毒厂商需要那么强大的技术积淀，入门门槛很低。一名有经验的顾问凭着自己数年积累下来的客户关系就可轻易成立一家企业并且生存下来。昆明亭长朗然科技有限公司安全服务市场分析员James Dong说：初步测算，在国内，将信息安全咨询服务作为产品之一的厂商至少有2000家。

通常，咨询顾问服务是一个虚实相结合的，即靠经验又靠忽悠的行业。信息安全行业也是如此，有几年行业工作经验的、领悟力等资质不太差的、稍稍勤奋努力的、甚至一些自学成材的和不学无术的马屁精们都能轻松入行并且担当大任。纯粹的骗子换上信息安全咨询师的马甲也难逃过甲方信息安全负责人的锐眼，毕竟客户在咨询顾问方面花钱都是在买知识建议、买解决方案，要解决自己不懂的或搞不定的事情。对行业没有一定时间的投入进行研习，肯定会露出马脚的。

信息是当今各类组织的重要资产，需要得到妥善保护。信息的保护不当可能严重威胁到组织的经营管理、持续运营甚至国家安全。保护好组织信息的安全，并不是安装防火墙系统或更新防病毒软件那么简单。尽管大量组织都已经部署了基本的安全防护措施，仍然抵挡不住安全威胁的发展速度，仍然会有各种安全事故发生，简单说，计算机网络信息安全对专业性和技能性的要求较高。

通常多数组织并没有足够的安全资质和技能储备，毕竟安全并不是多数组织的核心商业竞争力，所以组织可以通过购买专业的安全咨询服务来保障信息资产的安全。然而，最近一些年，国家从上至下逐级推动了多项网络信息安全战略计划，重点的行业在法规要求和政府监管之下，早已建立了相对初级的内部信息安全管理体系。

尽管这些战略性行业受到了不少国家政策的保护，但是和国际水平相比，仍然有较大差距，所以不少跨国公司便花大钱请洋顾问来布道，洋顾问们提供的安全咨询服务包括并不限于：安全规划、架构设计、风险评估、法规遵从如等级保护、安全产品选型、信息安全管理体系等等。

在国际视野方面，洋顾问们的理念无疑要领先国内很多年，然而，洋人们的经验往往适合欧美发达地区，在信息安全的战略、设计和规划方面可能和想“走出去”的中资公司的业务战略和规划并不一致，简单说，就是不懂中国特色。

最初的计算机网络信息安全服务往往停留在技术架构、产品部署和后期维护层面，显然不够全面也无法满足业务快速发展和对外扩张的新时代要求。亭长朗然公司James说：新时代的信息安全咨询服务是以信息安全战略规划、架构设计、方案设计以及合规为主的服务活动。能够做得好的，无疑是了解中西方文化差异的信息安全从业人员。所以，当碰到一位中文很跛脚的老外，您不能指望对方在信息安全咨询服务上能给多大帮助；同样，碰到一位见到英文信息安全文章或书籍就头皮发麻的中国人，也别指望能从那得到什么能让人眼睛一亮的信息安全思想源泉。

环顾国内，信息安全管理咨询服务行业呈现极强的封闭性、孤立性和偶然性，一盘散沙且各自为政。每家咨询公司都有部分固定的客户资源，又不断通过竞争开发新客户，在这你争我抢之中，缺乏高端创新，造就了灰色的地下权钱交易，并且浪费了大量的社会资源。

说到底，目前的信息安全管理咨询服务产业弊病太多，暮气沉重，有需求的少量高端客户难以获得高端的咨询，有需求的大量草根客户也无法低价享用基础性普及性的信息安全咨询服务。要解决这种问题，出路何在？亭长朗然公司James说：将信息安全管理知识经验进行标准化和产品化，再借用互联网经济的低价和高效，传统的“关系型”壁垒将被打破。然而，谁将担负起这一重任呢？我们盼望着破局者和产业革新者的出现。