安全意识培训通常是信息安全管理团队的一项常规工作任务，和“意识形态”、“文化建设”、“责任意识”、“内部沟通”、“洗脑宣传”等似乎无法隔离，所以是个低敏感性的话题。在组织机构中，它往往是员工必须接受的培训之一。然而，特别是对于那些认为自己的工作不会对公司的信息安全产生直接影响的员工，通常会对安全意识培训的抵触较多。虽然很难找到实施安全意识培训的最佳方式，但现实是它已成为企业领域的一项新常态。接下来，让我们一起聊一聊这个话题吧！

安全意识培训的由来和重要性

安全意识培训是什么呢？人们经常强调信息安全的重要性，不管是保障业务成功还是商业竞争力，不管是应对安全威胁还是处置各类商业信息风险，不管是保护机密数据还是保障重要系统，都是信息安全重要性的组成部分。昆明亭长朗然科技有限公司安全意识专员董志军说：人们了解了信息安全的重要性，那么，如何实现信息安全呢？有各种控管措施，不管是监控侦测型、被动响应型还是主动防御型，不管是技术控还是管理控，不管是流程、技术还是人员，都少不了安全意识培训，所以说，安全意识培训是众多管控措施之一，同时也是信息安全领域内的一个交叉流程，它沟通和连接了多项安全控管措施，因此重要性自然提升上来。

为什么有的组织机构搞安全意识培训，而有的组织机构又为什么不参与安全意识培训呢？一般来讲，处于不同信息安全成熟度或发展阶段的组织机构对信息安全意识培训的理解和需求各不相同。尽管如此，在大多数情况下，安全意识培训是一种针对最终用户的培训，通常是每年一次定期提供，通过确保所有员工都了解信息安全最佳实践来降低组织的整体风险。网络安全行业中的人们普遍认为，员工是组织中最容易被利用的攻击媒介。看一看利用社会工程学的网络钓鱼攻击造成的破坏力和普遍性就可以理解这一点。为降低此风险，安全意识培训通常涵盖以下几个主题：基本安全实践、公司政策以及与公司可能必须遵守的相关法规。组织或公司希望通过提供这些知识信息和培训活动，员工能通过提高认识进而来帮助强化组织机构的安全防线。

安全意识计划的最佳实践方法

了解了安全意识培训是什么以及它的实现目标，接下来我们就要讨论如何实施或管理安全意识培训计划。组织通常需要定期运行安全意识计划。董志军表示，通常，建立信息安全意识培训计划有两项外部驱动力：要么是客户要求，要么是监管要求。在这些情况下，组织机构可以很容易地搞一些活动，通常是为了安抚他们的客户或通过相关的审计。这种靠外部推动的思维过程属于“被动响应”。另一种思路是，无论外部压力或要求如何，培训都需要将公司的风险水平降低到可接受的水平。实现和/或维护安全意识计划的这个动机更符合安全意识培训的由来和价值重要性，当然这种发自内在的需求也应该是所有培训计划所基于的精神。

与其它所有可以实施的安全控制一样，组织在意识培训方面有许多选择。两个主流选项是内部培训或采用外部解决方案。内部培训顾名思义，就是组织使用已有的内部资源来开发和提供培训。或者如果已经有安全培训部门和人员，或者如果有预算引入专家顾问来开发材料，这些都是一个很好的选择。外部第三方解决方案随时可用，而且价格合理，但缺乏内部开发材料可能提供的定制化和个性化服务。当然，在两个主流选项之间，也有一些折衷的选择，比如将顾问人员演变成实际上的全职员工，还可以选择混合使用两种方案，即一部分计划活动由内部实施，另一些将由外部专业服务公司， 比如向外部第三方安全意识咨询服务和设计机构提出定制化和个性化服务的需求 。

建立和实施安全意识计划的最后一个考虑因素是需要涵盖的主题。有些组织将他们的安全部门聚集在一起并列出他们能想到的所有内容。其他公司可能会检查其第三方解决方案中的每个主题，以进行内部的匹配。许多专门为满足客户合同协议而设计培训的组织将向客户询问他们在培训中涵盖的主题。最新的外部安全新闻消息和内部安全事件都可能影响培训内容，不过，这些只是常见的情况，并不全面。

一种推荐的安全意识培训战略方法是采用加强评测及互动，这是旨在通过真正的安全教育来使员工变得强大，进而帮助降低风险。一个好的开端是在雇用之时和每年的基础上进行基线培训。不要指望把培训搞成受人欢迎的演唱会或者看大片，那些虽然一时爽，但是严格庄严没什么安全意识培训效果。常规的安全意识培训应该是严肃的针对企业场景的，将涵盖常见的安全主题，例如在离开计算机之前锁定计算机、如何发现网络钓鱼电子邮件等。此种培训应该是大而全的，包括所有相关的内部安全策略、以及公司需要满足的所有监管或合同标准等等。当然，这些内容较多，不需要员工一次性全部学习，可以限定在一个时间段，比如一季度或半年内完成。必须强调的是互动和考评，没有互动缺乏趣味，没有考评的培训会让学员没有学习的压力和注意力。

为了不断加强培训，必须对行业情况保持一定的关注，并定期引入带外培训或其他培训主题。应该考虑适时添加一些独立的培训，主题包括如：网络安全法、GDPR或勒索软件防范等等。最好将外部第三方解决方案与内部资源混合使用。第三方解决方案在涵盖基本主题，甚至在许多通用合规标准方面做得非常出色。同时要知道的是，只有组织自己的信息安全部门才最了解自己，才最知道相关法规政策将给组织带来的特有挑战。

说到外部第三方解决方案和培训主题内容，董志军为您支招：组织应该每年考虑更换外部供应商，这样可以吸取百家之长，弥补其短。同时，对于那些老学员们来讲，使用新内容带来了新鲜感 ，免得枯燥地重复使用某家供应商的内容 ，不仅仅是换了换胃口，更是在帮助提神和开眼。

不管怎么说，安全意识培训的需求是实在的，必须要搞。要把安全意识计划弄得有声有色，当然需要的不仅仅是花钱，还需要有一些方法谋略，希望我们的这些分享能够帮上有需要的潜在客户。同时，昆明亭长朗然科技有限公司是一家专注于帮助客户提升员工安全意识的服务商，我们帮助过多家不同规模、不同行业的客户建立和实施过安全意识培训计划。我们也自主开发和制作，并且帮助客户量身定制设计创作了大量的安全意识主题内容，包括卡通漫画、知识图片、动画短片、视频影片、互动游戏和电子课件等等。欢迎有兴趣的客户与我们联系，洽谈进一步合作事宜。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

在取得成功、走向辉煌的过程中，我们必须有一个个明确的目标，一切以结果为导向。营销团队通常会拿此进行队员励志，成功学专家更是将此奉为圭臬。因为涉及信息安全，特别是用户意识和培训，所以在安全意识领域也应思考有一个明确的目标和导向。

是否要将所有人员培训到最高级别，以便他们可以成为安全解决方案的一部分呢？也许可以通过政策和技术控制用户的行为来使企业获得成功？也许只是审核人员检查安全意识培训相关制度和记录？昆明亭长朗然科技有限公司安全意识专员董志军说：观察安全意识和培训计划的无数方法和可能的结果，无论是否完成，都归结为一件事：改变行为。

有许多企业正在进行网络安全培训，但他们没有什么可以展示的。当然，培训记录通过了审计检查，但人们仍在点击恶意链接，打开可疑的邮件附件，并堕落于社会工程师几十年来未翻新的老套骗术。我们可以在几乎所有的安全评估项目中都看到了社会工程学的影子。网络钓鱼邮件太容易成功了，通常会有三成左右的用户打开附件或点击邮件中的链接，并在出现提示时输入其网络登录账户和密码。这是一个简单而又令人不安的漏洞，然而每天都会发生在世界各地，当然也包括您所在的工作单位。

现行安全意识计划是否能带来安全行为的改变

安全意识计划应该专注于正确的事情，以行为变化为核心，这有助于实现总体安全目标，防止正在做的事情偏离目标，走入歧途。具体有哪些奇葩的偏颇的做法呢？其实在特定的企业文化中的表现各不相同，有拿数据来说话的机构，喜欢搞“深入、公正和持续”的安全评估，进而发现可以带来改进的一些事情。问题是这些IT安全团队“既是运动员、又是裁判员”，他们发起的安全评估通常不是深入的、无偏见的或持续的，因此用户必定“不服”，对安全挑战会持续存在。改变的行为往往不是安全，而是如何搞调查评估和工作表现等等这一些文书工作和政治工作。

有的安全意识和培训计划纯粹就是无脑的跟随，这种找花钱路子的案例有很多。您有没有想过：强迫更多令人头脑麻木的课堂会议或视频会让更多人加入安全措施吗？有没有更有创意的方法，例如采购外部的专业培训服务呢？询问用户他们想要学习什么以及他们想学习它们的方式。IT和安全专员千万不要自以为很了解用户，圈子以外的很多聪明人都可以提供很好的反馈，要提高基层用户的安全性。这并不是在内容和形式方面投大众好，试问，用户们真的喜欢微信观看大片进行学习吗？您得到的真实答案可能让人意外，人们觉得安全培训的内容似乎和自己无关，更不想花费自己的私人时间来学习如何保护公司/单位的信息安全。如果这种错误的认识得不到改观，改变安全行为简直就是痴人说梦了。

很多安全管理者笃信通过惩戒措施会加强员工的安全自律。董志军说：尽管看起来很奇怪，但在受到纪律处分方面，成年员工与年幼的孩子并没有什么不同。如果他们要从错误中吸取教训，他们不应该被责骂和尴尬，而是需要了解为什么他们不应该做他们所做的事情以及他们下次如何更好地处理事情。话虽这么说，相反，在现实中，我们可以看到太多员工因为被恐吓而误解退缩、被指责而冷漠泄气、或被惩罚而心生积怨，进而消极地逃避、抵抗、甚至突破各类安全规章和要求。这当然是改变了员工的安全行为，但是方向却是相反的。

尽快做出必要的改变

无论是商业领域还是个人生活方面，信息安全都是您可以关注和赢得关注的方面。员工安全意识计划需要建立起来才能获得成功。在理想的世界中，这意味着他们甚至没有机会做出安全决策。安全方面技术控制可以帮助解决这个问题，但很有限。最终，在面临安全威胁和问题时，员工将自己拥有重要的安全选择权。您当前的意识和培训工作是否会引导他们走上正确的道路？在仔细检查自己的安全意识计划之前，没人能够知道。

请认识到安全意识和培训工作的核心成果是改变受众的安全行为。只有让合适的、专业的人员参与设定期望，然后方可尽一切努力达到目标，当然并随着时间的推移，目标需要不断修正和抬升。这种PDCA方法，与尽量减少与员工相关的安全风险的方法相同，而且它是被证明科学而有效的。

简要结论

安全意识计划要如何改变安全行为，引导受众参与的积极性是首要任务，这并非靠制作精良的安全宣教大片或者抡起安全事件惩戒的胡萝卜加大棒就可以实现的，要让受众理解安全文化精髓，他们才能认可和接受信息安全方针政策，以及我们发出的安全要求和指令，进而在工作、生活、学习中重复实践安全，进而养成良好的安全行为习惯。

昆明亭长朗然科技有限公司根据不同组织机构的安全文化，以及人员群体的不同特性，量身定制适合的安全意识教育计划，并提供相关安全宣教活动的顾问和实施服务，欢迎有需要的客户或伙伴们联系我们，洽谈合作。当然，如果您对文中的这个话题有兴趣或者有自己的观点看法，欢迎联系作者董志军，以进一步深入探讨。

电话：0871-67122372
手机：18206751343
微信：18206751343
邮箱：[email protected]
QQ：1767022898