即使在偏僻的乡村，年轻人也开始使用智能手机与远方的亲朋好友进行联系，甚至连传统的农林牧渔行业也感受到利用信息系统可能带来的巨大产业变革。信息越来越成为大多数组织的生命线，它们可以存在于多种形式，比如物理的纸质文件、电子文件或数据库记录，当然还存在于人们的头脑、会谈和电话之中。

不容质疑，信息和信息系统赖以运作的基础架构和应用平台需要得到适当的安全保护，于是，我们在终端部署了防病毒、个人防火墙、客户端安全等措施，在网络层面实施了网关安全、接入控制、入侵防范等系统，在应用层面进行了系统加固、内容过滤，数据库安全等技术，并且建立了帐户管理、资产管理、漏洞扫描、补丁管理、风险评估、桌面检查、渗透测试、日志分析、审计认证、应急管理、灾备计划等等安全管理流程……

在加强技术控管和流程优化的过程中，我们忽视了一样关键的要素：人。时不时媒体曝光不少和人员相关的安全新闻，如：国字号企业员工贩卖客户资料谋私利、某公司员工在社交网络泄露公司机密，前员工入侵某企业服务器删除大量重要资料等等，这些都显示出，人员在信息安全管理中的重要性。

无论我们建立怎样的安全控制措施，例如分级管理、访问控制，也无论我们采用何种安全原则，如最小特权原则、权限分离原则、强制存取控制和安全域原则，我们都需要让“人”来访问、操作、传输和处理相关的信息数据，而“人”是活的，甲系统的严格控制难以防范用户从开放的乙系统泄漏机密，对机密信息甲某能守口如瓶乙某却口不遮掩，所以我们不能简单地冷冰冰地像对待一项信息组件一样来设定“人”的活动，而是要倡导人性化，安全管理中的人性化最重要在让人们明白为什么要这样做才安全，而不仅仅是该怎么做，在移动互联网和社交网络广泛应用、信息传播极为便利和快捷的今天尤为如此。

这里的“人”通常包括数据的所有者和使用者，继续分解可能包含保管者、创建者、传输者……实际应用中这些角色也在变化，通常所有者是数据所属的业务单元的负责人，保管者是信息系统服务人员，而使用者可能包括内部员工和外部客户。

将数据保护的角色分开，便于让人们更清楚地了解到自己在保护数据和系统安全中所要担负的职责，了解了这一点，那些由于自己不慎泄露银行帐户、密码和认证令牌，导致钱款丢失的人们便不会轻易控告银行保护客户的帐户安全不力。

除了教育外部客户，最重要的还是教育内部员工注意安全，毕竟他们是信息系统和信息数据的主要用户，而教育内部员工信息安全意识，则需从新人抓起。

根据岗位的不同，新人一般要大约三个月到三年才能真正担当起工作重任，在这期间，大部分时间都是在边学边干，我们也要让新员工在这个过程中学习安全相关的知识和技能，成为“安全人”，这是一个漫长的过程，不是一两次培训或安全讲座可以达成的，信息安全专家需同人力资源培训部门确保新员工入职培训中设置有适当的安全课程，通过正式课程的学习，让员工明白信息安全的重要性，自己和部门的安全职责，公司的安全政策、标准、工作流程，可接受的安全行为准则，以及最佳的信息安全操作实践。

标准化的新员工入职信息安全课程培训并不足够，公司需要让员工将所学习到的安全知识和技能用于实际工作之中，而不同的工作岗位面临着不同的安全问题，对安全的具体操作实践需求也有差别，所以，还需要在岗位上进行安全意识和具体安全操作流程的培训。岗位培训通常需要员工所在部门的经理、主管、安全协调人员甚至老同事进行手把手引导，这也是新员工将所学的安全知识同工作实践结合起来的一个过程。

针对新员工的立体安全意识培训计划并未覆盖到全体员工，为了防范遗忘和懈怠，同样需要加强对老员工进行安全意识的刷新，此外，大部分的安全事件来自内部，而资深老员工的安全违规行为更容易造成严重的后果，所以，定期展开会对全员的安全意识培训和考核非常必要，让安全培训活动成为常规流程，进而影响员工的安全行为，逐渐养成企业的安全文化。

除去正式的安全意识培训和岗位安全技能指导，非正式的安全意识沟通也至关重要，一份安全邮件通讯，随手转发安全新闻，简单的一句安全提醒，随意聊一聊安全观点……正是由于这些无形之中的日积月累，让安全观念得以传播，让安全意识深入人心，让安全认知影响着组织、推动着组织文化向良性方向演进。

非正式的安全沟通还应表现在具体业务工作流程中，通常，在制定安全风险应对措施，或出现安全事故之后进行预防手段时，出于本能，安全负责人和专家们总在想该如何实施更强大的技术控制措施来防范用户犯错干些傻事儿或泄漏数据，往往忽略同相关人员的沟通，这一点在新项目的上马过程中表现尤为突出。

安全专家常说，需要将安全嵌入到业务流程中，将安全内置到系统中，所以，安全要尽可能早的切入到新事业，新项目，新系统，新软件等等之中。

“前期，安全人员如果过于弱势，安全未被提入项目议程，或合理安全建议不被采纳，可能会造成后期事故频发，亡羊补牢尚可，但事后修补的花费要远高于前期防范的投入。”昆明亭长朗然科技有限公司高级安全顾问Alice说到，“相反，如果太过强势，则会造成团队士气低落，项目进展缓慢，进而可能丧失大好商业机会。”

在多数现状下，在一个新的业务流程创新项目中，安全人员往往不是项目的赞助人或负责人，即使项目负责方积极邀请安全专业人员参与其中，安全专家也不可能面面俱到，当然更有项目团队急于完成前期交付，而忽视、躲避或掩盖安全的情况。

能为众多项目的后期的安全事故负责的往往也并非安全专家，所以安全专家需要做的是让业务流程和创新项目团队明白安全的意义和目标，向他们分解安全职责，并且告知安全的通用方法，以及提供安全方面的专业智慧支持。

在获得了业务流程和创新项目团队支持的情况下，安全专家可以大有作为，充分发挥专业技术，展示自身价值，此时要切记安全是在寻求平衡，过忧不及。过份的敏感，夸大安全威胁和可能带来的后果，甚至为了安全而安全，可能让业务管理和创新团队疲于同安全人员进行交流，由担心被拒绝、害怕受到惩罚，到一味逃避、消极放弃甚至强硬反抗，最终由于不敢冒险而失去难得的机遇，或者将安全扣上阻碍业务拓展的帽子……

综合考虑，得出结论：加强同业务流程创新以及项目负责人员的沟通，让他们明白基础的安全理念和方法，以便制定适当的风险应对决策，方是在组织内部推动安全的上上策，而针对运维人员，入职安全培训、岗位安全培训和定期的全员安全意识培训必不可少。

信息社会来临，信息技术不断进步，改变着人们的工作和生活方式。电子邮件、网上交易、网络游戏、即时通讯，博客及社交网络等已经得到了广泛的应用，随着云计算、物联网、移动应用等等新技术的逐渐普及，信息安全问题也将越来越突出。您的组织和员工是否已经具备了应对这些信息安全问题的自我保护认知和防范本领？是否会定期更改密码？是否有定期更新操作系统和防病毒系统？是否有随意点击不明链接和打开不明附件？是否有随意连接到开放式无线网络？是否有随意向陌生人透露组织的商业机密信息？是否有在微博上发表不利于组织的言论？是否有随便填写个人资料？

我们相信这类问题可以一直问下去，而大部分的信息安全问题涉及到组织的业务成功和商业信誉，但它们不是简单地通过技术控制手段就可以轻松解决的，而更多是需要建立和提升员工的安全意识认知和自我防范观念。

组织内外相关人员的安全意识的薄弱往往是信息安全的最大隐患，而且这一项关于“人员”的弱点不像其它技术漏洞一样，它很不容易得到修复。一方面，组织内很少有员工会主动认识到自身的安全意识需要提高；另一方面，有关信息安全的议题往往比较生硬和枯燥，不当的限制条款或沟通交流容易引起人们的漠视，反感甚至消极抵抗。

这就引起一个如何进行信息安全意识推广的问题，如何让这生硬的议题变得有趣，挑动观者的心，让其主动对信息安全相关话题产生兴趣，进而主动吸收相关的信息呢？

在几十年前图书匮乏的年代，我们可以扔出类似“红宝书”的信息安全手册，强制员工背诵，进而达到灌输的目的，可是这种手段如果用在今天的年轻人身上，那将效果甚微，毕竟，他们已经习惯了更加活泼有趣的方式。

所以，我们也要以活泼有趣为出发点，规划各种推广活动，将信息安全意识包装到各类活动中，具体的活动可以是安全讲座、安全课程培训、安全周（或安全日，安全月），安全知识竞赛，安全节目表演等等，渠道可以运用时尚的微博、博客、调查、投票、抽奖等等。

安全讲座方面，可以结合组织的实际情况和当下的热门话题，选择一些安全的主题，如“3Q大战和机密信息保护”，“移动办公安全”，“防止微博泄密”等等，时间和地点的安排可以根据组织的实际情况决定，参加人员除了有兴趣的人员之外，可让每个部门或业务单元派出代表参加，这些代表应由部门经理指派，负责本部门信息安全的沟通协调和推广，当然，经理们最好是委派部门内有兴趣的人担当这一重任。

安全课程培训，则可分类两类，在这里我们针对全员甚至和组织相关联的第三方员工，所以只限制在信息安全基础，不探讨专业的信息安全认证培训和教育。

第一类是技术相关的培训，结合组织的安全架构，安全标准、操作流程和工具等，可设置如个人电脑安全基础综合课程，可从电脑密码的更改，屏保的等待时间，防病毒和个人防火墙的设置和操作，补丁的更新管理等等。

内容可以由负责终端安全的技术服务人员制作和维护，可以写出详细一步一步的操作指南和常见问题，甚至录制屏幕操作过程，配以讲解等等，记得将这些资源放到所有需要的员工都很容易找到的地方如内部IT服务网站或IT安全网站等。如果有较大的更新，也可以通知相关的员工，这样做方便有兴趣的或有需要的员工随时来访问或查询。

另外在推广方面，可以在各个部门中挑选电脑技术比较厉害的又愿意帮助他人的一线员工，加强他们的安全技术培训，以便他们能及时帮助发现和处理部门中的安全问题，以及向其部门中其他员工传授安全技术和理念。

第二类是进行安全意识的培训，结合组织的安全策略和标准，可以制作各种议题的安全意识课程，或综合全面的信息安全基础课程，课程的主题可以包括常见的话题，如社会工程学防范，邮件安全，密码安全，防网络钓鱼，社交网络安全等等。

根据组织的实际情况，可以制定培训的方式，通过课堂培训或通过电子学习。课堂培训适合规模较小的组织、以及较大规模组织的新员工入职培训；电子学习适合较大规模的组织定期进行全体员工的安全意识推广和刷新。

课堂培训针对新员工的一般时间两小时左右，针对全员的时间可酌情缩短至一小时。可以由组织内部安全人员进行讲解，或请专门的安全培训讲师，组织内部的安全人员更了解组织的实际情况，但在推广上可能也会有些阻力和难度；如果请外部讲师，得注意事前沟通组织较为关心的一些安全话题，比如此前出现的安全事故等等，以便讲师能有侧重方面的准备，和获得更好的效果，同时组织内部的安全人员也可以从外部讲师那里获得一些经验方面的指导，以及学习一些推广的技巧等等。

不过，如果您认为外面的和尚好念经，那就不全对了，除去专业讲师的收费较高不谈，大多数讲师不会允许录音或录像，而更多的精华内容在PPT或讲义中无法体现，另外课程完成之后的后期跟踪普遍较弱，而安全意识教育却是一件长期不懈的工作，所以，如果不是与组织长期合作的安全管理顾问，您不能给讲师提供的课堂培训以太高的期望。

当然，您自己可以内部开发相关的课程，以及使用内部的讲师，如果您的组织有内部的多媒体广告部门或者设计人才，可以同他们沟通。一般来讲，他们是设计制作方面的专家，但是可能对信息安全的认识不够，在和他们沟通成本花费的同时，您更要评估重要安全理念能否被创意团队很好的展现出来。记住，为了那两个小时的精彩，您可能要花上几十甚至上百倍的时间在准备工作上。

如果员工众多，选用电子学习方式无疑具有成本和效益方面的优势，如果是自己设计内容，您可以保证前期辛苦的准备工作可以被反复使用多年。当然，您也可以考虑采购信息安全意识的学习内容，导入到内部学习平台，甚至也有专业的服务提供商提供在线信息安全意识培训，能让您省去平台管理和维护的工作。电子学习的课程时间可以考虑设置半个小时左右，加上学习效果的测试，总时间可以限制在一个小时之内。

位于互联网“云”端的在线学习内容大多是多媒体格式，它们可是较耗带宽的，所以建议使用内部电子学习平台。您可以找组织中的培训部门沟通，看是否有现成的电子学习平台，是否方便导入学习内容。相信多数平台都支持导入符合标准的学习内容，当然如果没有现成的平台或有其它原因，您也可以考虑搭建一套平台，可以购买商业的学习软件系统或使用开源的系统，通过评估使用的人数和频率，简单计算硬件性能和网络吞吐的需求，一般来讲，中阶PC服务加上百兆网络环境可以应付多数大型组织，跨国或有多个大型站点的机构可以考虑在部分站点也建立学习系统。

培训和学习的需求不再劳重复罗嗦，和较宽松自由的安全讲座以及技术培训不同，我们建议强制进行组织内部全部员工的信息安全意识学习，鉴于组织的业务流程可能有很大差异，某些几乎不接触到电脑和关键信息资产的部门和岗位可以不使用电子学习，但是不能忘记为重要的供应链及合作伙伴的员工提供培训，毕竟他们也是组织业务安全的重要组成部分。

要强制推动全员参加电子学习，需要高层以及各级经理支持，经理要为所在部门或业务单元的安全负责，理所当然应该做好表率，所以可以安排经理主管们先行学习，然后再推广至大量一线员工。经理主管们要保障所在部门的信息安全，当然也要依赖下属每一位员工的安全意识和行为，所以他们应该要求下属员工积极参加学习。当然，也可以分阶段的推动，先挑选如信息技术和安全部门进行，一方面人员较熟悉，此外也可积累一些经验，方便后期的推广。另外，也要同人力资源进行沟通，争取人力资源部门支持将信息安全和员工的个人绩效相挂钩。

学习课程内容的设计除了生动活泼有趣之外，也要有很好的互动性，而且更重要是要衡量学习的效果，互动就不是单向的放视频，可以在课程中间设置防呆功能，比如设计小的问题让学习者点击鼠标或输入键值。衡量学习效果则可通过学习之后的在线考试进行，当然考试不是目的，只是手段。不过，在必须通过考试的压力下学习，效果会更好。

在技术上，学习系统可以和员工的工号或组织账号接合起来，典型的做法是使用LDAP数据库，也有不少组织使用活动目录Active Directory管理员工的账号，当然，如果无法使用集中的用户账号数据库，也可以批量导入用户名和密码，然后批量发送邮件通知员工参加，当然，也可以考虑通过组织的架构，逐级向下推动学习的进度。不过，这里面还需要各业务单元或部门的信息安全沟通协调人员进行推进。

需要给员工一些日子来自主选择学习的时间，一般可以告知从发送邮件起一个月内完成，一次测试不通过需要重新学习，直到测试通过为止。安全管理员在学习进度的跟踪上可以每周搜集和整理报告，并向各部门或业务单元的经理及协调人员发送进度和未通过的名单，以及采取必要的督促工作。如果您的目标是100%的员工100%的通过测试，您可能得在最后几天加强相关人员的联络和沟通，一般，这两个数值达到95%以上便可以接受。

对学习比较积极，对组织的安全文化有积极影响的员工和信息安全协调人员进行适当的奖励和表彰，以此来引导更多的员工关注信息安全。另外，新的安全威胁和问题会不断出现，也还需要保持员工信息安全意识的刷新，我们建议您至少每年更新一些培训内容，除了要求新入职员工学习之外，持续每年进行全员的安全意识电子学习计划。

如果您对信息安全意识培训计划和方案的创新有想法，欢迎您随时联系我们，一起探讨一起进步。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com

QQ: 1767022898