现在几乎所有的信息安全管理负责人都认识到只依赖技术方面的安全控管是不足够的，与此同时，在流程和人员方面的安全控管越来越受到信息安全总监和经理们的青睐，尤其是针对全体员工的安全意识培训计划逐渐成为信息安全管理工作的重点。

由于信息安全意识教育是比较“软性”的安全控管措施，也没有相关的国际国内标准可以遵循，所以通常被认为比较难以衡量安全意识培训计划的成效。实际上多数组织在进行一两次大规模的安全意识培训活动之后，发现整体安全状况的改进并不十分理想。

为什么有些安全意识培训活动并达到所期望的效果呢？昆明亭长朗然科技有限公司的安全意识培训顾问Bob Xue说：当我们与多数安全意识培训计划负责人进行接触时，都会获得信息安全意识教育至关重要的积极反馈，然而谈论到安全意识培训活动成功的经验和失败的教训时，会强烈感知到客户的迷茫和无力。

在分析了林林总总的原因之后，亭长朗然公司的Bob总结了几条成功实施信息安全意识培训计划的关键要素，并且分享如下：

1.获得最高层的支持，信息安全管理中有Top Down Approach“至上而下”方法论，信息科技、安保中心、人力资源、员工培训等部门的负责人会认识到信息安全意识教育的重要性，但是并不能代表C-level的高管们也有同样的认识。获得高管们支持的办法并非需要太多的说服工作，但是要注意让信息安全意识计划的学员们知道高层对信息安全的重视，可以邀请一些高管，让他们现身对全体员工谈一谈信息安全，将高层要传达的安全讯息录制成安全意识教育视频。这种安全意识教育视频录制活动的好处是让高管们获得了重视信息安全、工作尽职尽责的美誉，中间经理层和员工们也更能接受最高管理层传递的信息安全理念。有了最高层的支持，就如同拿到了在组织范围内进行信息安全意识教育的“尚方宝剑”，不需要花费太多动员工作在中层经理主管和基层员工们身上。

2.安全意识教育计划和安全意识培训内容要结合实际的工作环境，每家组织都是独特的，不仅表现在组织架构和安全文化方面，就信息安全管理方面而言，每家组织需要保护的关键信息资产也各不相同，所使用的信息系统、工作流程和安全策略也各有差异。在制定安全意识教育方案时，一定要考虑到业务环境和信息环境，通用的安全意识教程可供参考，但是不能有太大的期望，毕竟不够定制化的服务更加贴身，更符合实际。

3.明确信息安全责任，讲一大堆信息安全对组织重要性的大道理往往会令基层员工有“听天书”的感觉。信息安全关乎所有人的职责，关键要通过信息安全意识培训计划，让全体员工了解到自身所要担负的安全角色和职责，不同部门和工种的员工的安全角色可能会有稍许差别，管理层的安全责任更加重大。安全意识教程要注意覆盖到所有部门和工种的员工，再结合起员工们的日常安全作业流程，简单而直接地告知哪些行为可以接受，哪些行为不可接受，方可让安全方针政策得到员工们的理解、消化和落实。

4.鼓励员工们积极向上的安全行为，让全体员工了解和履行安全职责可以保护自身范围内和部门级别的信息安全，同时组织范围内的安全环境也还需要全体员工参加共建。倡导正确的安全理念和积极向上的安全文化，并不是玩虚的，信息安全管理负责人需要拿出部门资源来引导员工积极参与信息安全策略和作业流程的建立和优化，更需要奖励为组织的整体安全文化建设做出杰出贡献的个人或部门，比如对发现业务流程或信息系统安全漏洞的员工给予物质奖励；对积极正确响应安全事故、帮助组织降低业务安全风险的员工进行精神表彰等等。积极向上的安全文化不仅是安全意识计划的追求目标之一，反过来也会促进安全意识计划的成功实施。

5.向员工们提供足够的安全支持资源，安全意识教育不应该只是搞个课堂培训、张贴一些标语海报、发放些信息安全意识传单。大部分的员工还是想在遇到信息安全问题的时候能够有正确的表现，只是有时确实不知道碰到问题时该如何处理。这就需要信息安全管理负责人能够提供尽可能多的资源给到员工们，设置组织内部“信息安全网站”是个不错的方法，可以将组织相关的信息安全策略、标准文档、安全流程指南，常见问题等等放置到信息安全内部网站上，供员工们在有疑问时自助查询。当然，还应该放置一些安全教程资源内容以及信息安全部门或团队的联系方式，以便有兴趣、需求或疑问的员工能随时学习或咨询。

6.采用有趣的互动性的安全意识教程，命令与控制型的单向灌输的教育方式已经不适合多数现代组织，一成不变的安全意识沟通方式也难吸引员工们的眼球。员工安全意识培训负责人需要不时换些花招，不时来一些安全意识电子期刊、一段安全培训卡通视频、一小段安全漫画、一个安全疑问及解答等等可能并不足够，因为缺乏互动。一个在线安全意识互动活动、一部在线安全意识培训课程、数十道安全意识测试题、三五个安全场景挑战等方式会让员工在参与过程中进行思考。只有他们进行了信息安全相关的“思考”之后，才会Know Why“了解为什么”在信息安全方面需要这样做，而不仅仅是Know How，该如何做。也只有员工们深刻理解了“为什么”之后，他们才能在各自独特的工作环境之内应用正确的安全理念。

简言之，那些只使用些酷眩的海报、月历和鼠标垫那些小玩艺儿便可进行信息安全意识教育的期望必定变成失望。想要成功进行信息安全意识培训计划，除了坚持不断执行上述几点关键要素之外，还是不断坚持和循环执行，这正呼应了信息安全管理体系ISMS的导入方法，即将PDCA持续改进的理念和方法应用于信息安全意识教育计划之中。

昆明亭长朗然科技公司不仅提供安全意识培训计划方面的咨询顾问服务，更能提供安全意识培训教程的量身定制设计、开发和制作。我们的专业信息安全意识推广经验和互动式的安全意识教程模板，可以为客户的信息安全意识计划带来大量的成功因子，欢迎与我们联系，即使是随便聊一聊信息安全管理相关的话题也会让双方受益。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

引言：命运的转折与选择的代价

想象一下，星河科技的首席技术官李维，一个以技术精湛、追求完美著称的工程师。他坚信，任何技术难题都可通过精密的算法和架构解决。然而，在一次关键系统升级中，李维为了追求效率，忽视了安全漏洞的潜在风险，导致公司核心数据遭到大规模泄露。这不仅给客户带来了巨大的经济损失，更严重损害了公司的声誉。李维因此被解雇，并面临法律诉讼。他始终坚信，这仅仅是技术风险的意外，不应该由他个人承担责任。

另一边，华夏银行的风险管理主管张欣，一个谨慎务实、注重合规的资深银行家。她深知信息安全的重要性，并一直致力于提升银行的信息安全防护能力。然而，在一次内部审计中，张欣发现银行内部存在严重的合规漏洞，许多员工未遵守安全规定，甚至私自使用未经授权的软件。她多次向上级汇报，但始终未能得到有效整改。最终，银行遭受了一次严重的网络攻击，巨额资金被盗。张欣因此被撤职，并面临法律责任。她内心充满了无奈和愤怒，她认为，银行的风险管理体系存在根本性的缺陷，而这些缺陷的责任，不应该仅仅由她个人承担。

这两个故事，看似遥远，实则反映了信息安全领域中普遍存在的困境：风险的责任归属，合规的边界界定，以及个人与企业之间的利益冲突。在当今信息化、数字化、智能化时代，信息安全不再仅仅是技术问题，更是一个涉及法律、经济、伦理和社会责任的复杂议题。企业信息安全事件的发生，往往伴随着巨大的经济损失、声誉损害，甚至可能危及国家安全。因此，我们需要重新审视信息安全责任的分配，构建完善的合规管理体系，并提升全体员工的安全意识和合规文化。

一、信息安全风险分配的困境：从“责任”到“成本”的转变

正如圭多·卡拉布雷西在侵权法中的论述，信息安全风险分配的核心问题在于，责任应该由谁承担？是个人过错，还是广泛的风险和损失分配？传统的“责任”观念，往往将信息安全事件的责任归咎于个人，例如技术人员的疏忽或员工的违规操作。然而，这种观念忽略了企业在信息安全管理中的主导地位，以及企业在风险控制方面的责任。

在信息安全领域，风险的来源往往是多方面的，既有技术漏洞，也有人为错误，还有外部攻击。这些风险的发生，往往与企业的信息安全管理体系、内部控制制度以及员工的安全意识密切相关。因此，仅仅将责任归咎于个人，是不公平的，也是不有效的。更合理的做法，是构建一个综合性的风险分配体系，将责任和成本合理地分配给企业、个人和社会。

二、企业责任与合规：从“风险分摊”到“成本承担”的转变

“企业责任”的理念，强调企业应该为其行为所产生的代价负责。在信息安全领域，这意味着企业应该承担因信息安全事件造成的损失，包括经济损失、声誉损失、法律责任等。然而，企业责任并不等同于“风险分摊”。风险分摊，是指将风险转移给其他方，例如通过购买保险或将风险转嫁给消费者。而企业责任，则要求企业主动承担风险控制的责任，并采取措施避免或减轻风险的发生。

在信息安全领域，企业责任的体现，包括：

• 建立完善的信息安全管理体系： 包括信息安全策略、制度、流程、技术措施等。
• 加强员工安全意识培训： 提高员工的安全意识，使其能够识别和防范安全风险。
• 定期进行安全评估和漏洞扫描： 及时发现和修复安全漏洞。
• 建立应急响应机制： 能够在信息安全事件发生时，迅速采取措施控制损失。



• 承担因信息安全事件造成的损失： 包括经济损失、声誉损失、法律责任等。

三、信息安全合规的挑战：从“形式主义”到“实质性”的转变

信息安全合规，是指企业遵守相关法律法规、行业标准和内部制度，以确保信息安全的一种行为。然而，在实践中，许多企业的信息安全合规工作，往往流于形式主义，缺乏实质性的内容。例如，企业可能只是简单地制定一些安全制度，但缺乏有效的执行和监督机制；或者，企业可能只是定期进行安全检查，但缺乏针对性的改进措施。

要提升信息安全合规的有效性，需要：

• 将信息安全合规纳入企业整体风险管理体系： 将信息安全合规与企业战略目标、业务流程、绩效考核等联系起来。
• 建立健全的信息安全合规制度： 包括安全制度、操作规程、监督机制等。
• 加强信息安全合规培训： 提高员工的安全意识和合规意识。
• 定期进行信息安全合规审计： 评估信息安全合规工作的有效性，并及时进行改进。
• 建立有效的合规反馈机制： 鼓励员工报告安全问题，并及时处理。

四、信息安全意识与合规文化建设：从“被动遵守”到“主动参与”的转变

信息安全意识与合规文化，是指全体员工对信息安全风险的认知、对安全规定的遵守以及对安全工作的积极参与。在信息安全领域，信息安全意识与合规文化的重要性，不容忽视。

要提升信息安全意识与合规文化，需要：

• 加强宣传教育： 通过各种渠道，例如培训、讲座、宣传栏、网络等，向员工普及信息安全知识。
• 营造安全氛围： 鼓励员工积极参与安全工作，并对安全行为进行奖励。
• 建立安全举报机制： 鼓励员工报告安全问题，并保护举报人的权益。
• 将安全行为纳入绩效考核： 将安全行为与员工的绩效考核挂钩，激励员工积极参与安全工作。
• 领导带头： 企业领导要以身作则，率先遵守安全规定，并积极参与安全工作。

五、昆明亭长朗然科技：赋能企业，构建安全可靠的信息环境

面对日益严峻的信息安全挑战，昆明亭长朗然科技致力于为企业提供全方位的安全解决方案，包括：

• 安全咨询服务： 为企业提供信息安全战略规划、风险评估、合规咨询等服务。
• 安全技术服务： 为企业提供安全技术解决方案，包括防火墙、入侵检测、数据加密、安全审计等。
• 安全培训服务： 为企业提供信息安全意识培训、合规培训、技术培训等服务。
• 安全事件响应服务： 为企业提供安全事件响应、应急处置、恢复服务等服务。

我们相信，通过我们的专业服务，能够帮助企业构建安全可靠的信息环境，提升信息安全防护能力，降低信息安全风险，实现可持续发展。

昆明亭长朗然科技有限公司提供一站式信息安全服务，包括培训设计、制作和技术支持。我们的目标是帮助客户成功开展安全意识宣教活动，从而为组织创造一个有利于安全运营的环境。如果您需要更多信息或合作机会，请联系我们。我们期待与您携手共进，实现安全目标。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898