意识是安全的关键

大多数安全事故的根本原因都可以追溯到对安全风险、威胁和对策的知识、兴趣和理解的缺乏。

对您个人来讲，为了保护您的工作，提高安全意识非常重要。对于公司来讲，没有员工的合作和警惕，安全方面根本无法达到必要的高度。

信息安全只有在人员、流程和技术相结合的情况下才能发挥作用。如果缺乏其中元素之一，安全工作必定是浪费时间和金钱。

中国工程院院士沈昌祥指出：比浪费更糟糕的是错误的安全感。要知道，大意和内部错误占所有安全事件的一大半，几乎所有安全事件都是可以预防的。

什么是安全意识？

西安邮电大学闵祥参教授说：安全意识是理解风险、预测威胁并知道如何防止事故或减少其影响的能力。

安全意识通常是全公司范围内的努力和追求，旨在提高所有人员保护信息资产的能力，并帮助使技术安全措施更有效。

如何提高安全意识？

通过有针对性的培训、常规例会或研讨会、在线学习、内部沟通和强化政策执行力，可以实现良好的安全意识。

• 有针对性的安全意识培训，不仅包含按学员的岗位职责和安全级别来区分所要学习的内容，也包括根据学员的不同特点，对安全的认知态度和知识水平，采取相对应的培训措施。
• 常规例会往往包括全员的年会，以及班组、部门等小范围的日常例会，领导们在这些例会上花少量时间宣讲安全，展示对安全的承诺，唤起全员们对安全的重视和行动，是提升安全意识的一种好办法。
• 安全研讨会往往是安全领域内专门的管理会议或专业技术会议，比如信息安全管理委员会定期的碰头会、针对某一管理或技术课题而开展的沟通、协调或培训会。安全研讨会往往是通过安全专、兼职人员，向全员辐射传播安全意识的发起通道。
• 在线学习由于具有不受时间、地点限制，低成本高效率的优势，适合针对全体人员的大规模安全意识培训。由于电信通讯资费的下降、智能移动终端的普及，以及科技的亲民化，近年来使用手机、平板电脑等移动学习日渐成为在线学习的主流方式。
• 内部沟通的方式和渠道很多，有些广受公司内部的欢迎，甚至成了传统和文化，在安全意识教育方面，同样可以使用这些沟通的方式和渠道。
• 强化政策执行力，是化安全认识为安全行动，只有改变了员工们的安全行为，安全意识才真正体现出价值。通过安全检查、监督、考核等手段，来强化安全政策的执行力。安全政策执行力得到强化的同时，反过来也促进员工们对安全的主动认识，进而提高安全意识，达到一种良性循环。

昆明亭长朗然科技有限公司董志军表示：目前有很多安全管理和安全培训负责人不知道如何下手搞安全意识教育，一味求鲜求酷，向外寻求新产品新玩法，这其实是舍本逐末。外来的东西再花哨，也必须适合自身内部的安全环境和管理文化。

走出安全意识工作的误区

在安全意识方面，我们必须向内探寻，让安全内心强大起来。通过有针对性的培训、常规例会或研讨会、在线学习、内部沟通和强化政策执行力，从内部让人员的安全能力强大起来，才是普适的安全意识工作正道。否则，一味盲从随风地花钱采购安全意识宣传品，让安全意识工作从表面看起来很豪华，实则陷入“金玉其外，败絮其中”的困境。浪费时间和金钱不说，带来了错误的安全感，才是大误。

广而告知

昆明亭长朗然科技有限公司帮助客户建立真正的安全意识宣传计划，我们不向您简单打包和出售一模一样的安全意识作品，而是针对贵司独特的企业文化、业务战略和安全环境，量身定制全面的安全意识宣传服务和最适合的教程内容。

如果您同意我们对安全意识工作的观点和看法，对此工作有兴趣或有需求，或者有其它相关的想法，欢迎联系我们洽谈业务合作，或只是来电来消息，聊一聊。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：[email protected]

QQ：1767022898

IT安全专员使用各种技术和工具来保护公司的重要以及敏感​​数据，但是其中最重要的安全方法，也就是安全意识培训，却经常被忽略。防病毒、防火墙和备份在IT安全领域中扮演着关键角色，但是最终，受过良好的安全教育和训练有素的员工才是帮助保护组织信息安全的核心要素。IT安全团队要避免花费无数艰苦的时间与病毒作战、填补安全性差距、正确恢复文件……对此，昆明亭长朗然科技有限公司信息安全管理体系专员董志军表示，各类型组织中的信息安全从业人员，都需要在组织范围内，对员工们进行必要的安全意识培训。当然，每年一度的PowerPoint展示仅能混混日子，是远远不足够的，如下，我们向您分享几条这方面的战略方法和战术技巧：

掌握知识是成功的一半。赋予员工们足够的安全知识永远不是坏事。信息安全团队可以开展简短的安全意识教育活动，例如通过电子邮件发送安全知识点滴，以告知员工有关勒索软件与恶意软件之类的公司安全概念，或借助餐厅的电视宣传屏，告知员工们如何识别社交工程企图的知识。员工通常会由于无知而导致违反安全的行为，因此，设置“信息安全基础入门”之类的学习课程，将大大减少由于员工人为错误而引起的安全性问题。

不要躲避阴暗的一面。确保员工重视安全的一种方法是威慑他们，尤其在不重视规则的文化圈。向员工们说明不遵守安全惯例的风险和后果，包括可能被解聘、甚至处以罚款和交由司法诉讼。在安全意识培训期间，与员工们分享公司、行业和全世界的安全案例故事，以传达不良安全实践的影响。如果不方便使用内部案例，请与您的团队分享知名机构最近发生的重大安全漏洞的故事。时刻跟踪业界安全事故，定期上网搜一搜安全违规案例，这样就可以不断积累和更新素材，在进行宣教时，就更易抓住受众的心，获得他们对安全要求的理解和认可。此外，在对团队进行安全意识教育时，可以使用可能会影响到他们个人的示例。例如员工认为自己的个人银行业务和信用卡信息可能受到威胁的话，则他们更有可能养成良好的安全习惯。

如果心存疑虑，便将其丢弃。信息安全意识培训的核心概念是告诉员工们不要打开可疑链接或下载奇怪的文件。无论您是定期发送安全意识电子邮件，还是进行线上培训课程，您都应始终重复并执行这一核心思想……不要打开奇怪的东西。告诫员工们切勿打开意外的附件或链接。这包括来源不明，甚至已经来源的奇怪附件或链接。另一个通常被忽视的安全意识培训项目是教育员工不要使用奇怪的U盘或USB存储驱动器。众所周知，USB设备价格低廉，数据窃贼会将USB设备留在公共场所，那里面装有旨在窃取信息的木马病毒。而且，U盘体积很小，容易丢失。

保持计算机设备的清洁。应用安装的越多，安全漏洞和可能导致的问题也就越多。您的组织可能对可以在计算机上安装和访问的内容有明确的规则，但是这些规则是否得到有效传达和遵守？确保员工们知道信息安全规则。在您的组织内部网站上清晰地发布相关规则，或频繁发送安全意识培训电子邮件，以尽可能清晰地转发重要的安全点。不能过于依赖上网行为管理，员工们并不傻，如果没有足够的安全合规意识，他们中的聪明人可能会找到很多突破上网行为管理的方法，这反倒很不利于信息安全与保密管控。保持清洁可以不仅限于计算机设备，还是包括桌面，因为桌面上还会有很多计算机之外的信息、设备和财物。定期的办公区安全检查是不错的安全意识宣教辅助手段。

坦诚沟通，而不要躲躲闪闪。一方面，信息安全专员要站在组织的立场上，向员工们强调安全要求的必要性，采取开放的姿态，讲述可接受的信息（系统）使用准则，员工行为安全监控等等。另一方面，要鼓励员工们及时报告安全违规情况和安全威胁事件。对网络造成危害的员工通常会感到尴尬，要避免这一点，需要鼓励其尽早发声，由于员工个人的不慎，将病毒引入组织甚或导致数据泄漏的情况很常见，这往往并非员工本身的恶意行为，因此员工们没有任何隐藏的理由。如果您认为自己可能已成为网络钓鱼诈骗的受害者或下载了病毒，请迅速采取行动。立即让信息安全团队了解情况，并收集尽可能多的信息以采取必要的应对和防范行动，以避免和挽回可能的损失。

综上所述，信息安全团队进行了大量的幕后工作，以确保组织的网络安全。然而，赋予员工们强大的安全习惯可以将安全带到一个新的高度。切记：“谨慎是安全之源，小心行得万年船。”多年来，昆明亭长朗然科技有限公司专注于信息安全意识宣教业务，我们帮助大量各种类型各种规模的客户对员工进行安全、保密与合规意识的宣传教育，获得了大量的好评，欢迎有兴趣和需求的客户及行业伙伴们联系我们，洽谈业务合作。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898