意识是安全的关键

大多数安全事故的根本原因都可以追溯到对安全风险、威胁和对策的知识、兴趣和理解的缺乏。

对您个人来讲，为了保护您的工作，提高安全意识非常重要。对于公司来讲，没有员工的合作和警惕，安全方面根本无法达到必要的高度。

信息安全只有在人员、流程和技术相结合的情况下才能发挥作用。如果缺乏其中元素之一，安全工作必定是浪费时间和金钱。

中国工程院院士沈昌祥指出：比浪费更糟糕的是错误的安全感。要知道，大意和内部错误占所有安全事件的一大半，几乎所有安全事件都是可以预防的。

什么是安全意识？

西安邮电大学闵祥参教授说：安全意识是理解风险、预测威胁并知道如何防止事故或减少其影响的能力。

安全意识通常是全公司范围内的努力和追求，旨在提高所有人员保护信息资产的能力，并帮助使技术安全措施更有效。

如何提高安全意识？

通过有针对性的培训、常规例会或研讨会、在线学习、内部沟通和强化政策执行力，可以实现良好的安全意识。

• 有针对性的安全意识培训，不仅包含按学员的岗位职责和安全级别来区分所要学习的内容，也包括根据学员的不同特点，对安全的认知态度和知识水平，采取相对应的培训措施。
• 常规例会往往包括全员的年会，以及班组、部门等小范围的日常例会，领导们在这些例会上花少量时间宣讲安全，展示对安全的承诺，唤起全员们对安全的重视和行动，是提升安全意识的一种好办法。
• 安全研讨会往往是安全领域内专门的管理会议或专业技术会议，比如信息安全管理委员会定期的碰头会、针对某一管理或技术课题而开展的沟通、协调或培训会。安全研讨会往往是通过安全专、兼职人员，向全员辐射传播安全意识的发起通道。
• 在线学习由于具有不受时间、地点限制，低成本高效率的优势，适合针对全体人员的大规模安全意识培训。由于电信通讯资费的下降、智能移动终端的普及，以及科技的亲民化，近年来使用手机、平板电脑等移动学习日渐成为在线学习的主流方式。
• 内部沟通的方式和渠道很多，有些广受公司内部的欢迎，甚至成了传统和文化，在安全意识教育方面，同样可以使用这些沟通的方式和渠道。
• 强化政策执行力，是化安全认识为安全行动，只有改变了员工们的安全行为，安全意识才真正体现出价值。通过安全检查、监督、考核等手段，来强化安全政策的执行力。安全政策执行力得到强化的同时，反过来也促进员工们对安全的主动认识，进而提高安全意识，达到一种良性循环。

昆明亭长朗然科技有限公司董志军表示：目前有很多安全管理和安全培训负责人不知道如何下手搞安全意识教育，一味求鲜求酷，向外寻求新产品新玩法，这其实是舍本逐末。外来的东西再花哨，也必须适合自身内部的安全环境和管理文化。

走出安全意识工作的误区

在安全意识方面，我们必须向内探寻，让安全内心强大起来。通过有针对性的培训、常规例会或研讨会、在线学习、内部沟通和强化政策执行力，从内部让人员的安全能力强大起来，才是普适的安全意识工作正道。否则，一味盲从随风地花钱采购安全意识宣传品，让安全意识工作从表面看起来很豪华，实则陷入“金玉其外，败絮其中”的困境。浪费时间和金钱不说，带来了错误的安全感，才是大误。

广而告知

昆明亭长朗然科技有限公司帮助客户建立真正的安全意识宣传计划，我们不向您简单打包和出售一模一样的安全意识作品，而是针对贵司独特的企业文化、业务战略和安全环境，量身定制全面的安全意识宣传服务和最适合的教程内容。

如果您同意我们对安全意识工作的观点和看法，对此工作有兴趣或有需求，或者有其它相关的想法，欢迎联系我们洽谈业务合作，或只是来电来消息，聊一聊。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：info@securemymind.com

QQ：1767022898

当今商业领域不得不面临严峻的网络攻击问题，越有争议的事务、越知名的产品、使用率越高的服务则越容易成为攻击者的目标。如何有效应对来自互联网的各类安全风险呢？

一句“网络有风险，上网需谨慎”的警告语并不足够，我们需要在保障安全的同时满足业务战略拓展需求。昆明亭长朗然科技有限公司互联网安全分析师James Dong整理了几点互联网信息安全风险应对策略。

首先，要强化高层领导，主管业务的总监经理们有时可能并不会将互联网安全放在足够重要的地位，但是出现安全事故后他们是必须负责的。要有效降低互联网安全风险，获得高层的大力赞助和支持是关键。除非高层是十足的商业赌徒或者是油盐不进的冒险家，否则我们都应该向CEO、CFO、CIO等等宣讲互联网安全的重要性，并获得他们的理解和认可，更关键的是要高层给予适当的领导支持、管理支持和资金支持。

其次，通过不断的监控来持续优化信息资产监管、识别风险并进行分类分级、分析和评估风险应对措施、以及测量风险控管的效果。信息安全威胁不断演变，互联网安全环境也日益恶化，打造动态的威胁应对空间是有效降低信息安全风险的关键措施。

然后，制定业务持续性计划和灾难恢复计划，尽管在风险控管上有使用PDCA等科学方式进行不断的计划、实施、监控、测试和改进，我们仍然需要防范万一。在强大而猛烈的互联网信息安全威胁的袭击之下，没有任何信息系统能够万无一失。我们需要对最坏的情况有所准备，如何在受到确认的网络袭击之后，能够迅速恢复业务运作，将与数据、金钱和信誉等相关的损失降至最低。

最后，则是信息安全教育培训，越早将正确的信息安全观念和指南引入各个商业流程及信息系统，越能省出精力和获得更好的安全风险控管绩效。可是人们往往不懂这个浅显的道理，非要在信息安全事件发生并带来严重损失后方才重视。要说这些风险控管道理以及信息安全基础为人们所理解和支持，各类型组织机构应该在员工培训方面发力。为了让培训真正获得必要的效果，我们应该为所有的员工提供适当水平的安全意识培训。

需知，仅仅提供员工信息安全培训并不足够，我们需要建立一个衡量培训有效性的矩阵并付诸实施。如果旧的培训模式并不好使，则应该勇于尝试新的更适合组织（公司）的方法，直到找到更有效的方法。昆明亭长朗然科技有限公司采用国际领先的综合信息安全水平评估体系，可以帮助各类型的组织机构不断衡量和改进信息安全培训绩效，从而有效减轻互联网安全风险。除了自制大量信息安全培训内容资源外，我们也开发制作了多种在线信息安全意识平台，包括在线考试、意识评估、模拟钓鱼、社工渗透、线上学习、网络竞赛等等。搭配各种创新的安全意识宣教方案，不仅能用于模拟测量员工的信息安全意识水平、衡量当前培训模式的有效性，更让安全意识宣传活动变得丰富多彩，网络安全理念深入人心。欢迎有兴趣和需要的朋友联系我们，在线亲身体验我们的作品、平台，以及洽谈宣传计划和项目合作。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：info@securemymind.com

QQ：1767022898