根据雇主联盟的一项评估，95%的信息安全事故都涉及人员因素。没错，从广义上看，即使极端气候、自然灾害，或者战争瘟疫、封闭隔离等等带来的安全事故，也很难与人为错误因素彻底分开。因此，信息管理风险经理和首席信息安全官(CISO)在创建和实施信息安全政策及程序时，应充分考虑人员因素——幼稚（无知）、懒惰（冷漠）和疲劳（麻木），以最大限度地减少人为因素带来的安全事故。

近年来，在一些最成功的攻击中，威胁行为者利用了幼稚、懒惰和疲劳等人性弱点。一项调查显示，在遭受恶意数据泄露的大型企业中，有五分之一因账号被盗或受损而被渗透，使这些企业的平均泄露总成本达到人民币3000万元。对此，昆明亭长朗然科技有限公司信息安全管理专员董志军表示：组织机构应该积极努力消除人类幼稚、懒惰和疲劳带来的风险，这反过来又有助于消除社会工程和网络钓鱼攻击带来的威胁。

幼稚无疑是缺乏足够的文化教育，懒惰可能也是缺乏信息的结果，如果沟通不明确或缺乏，则员工们不知道组织在安全方面的立场。因此，组织的规则及其存在的原因必须清晰透明，否则，人们很容易忽视它们。可以通过向员工们提供信息安全意识培训来帮助防范惰性。

计算机系统可以无休止地工作，人类却是肉身，时间较长的工作就容易疲劳，这使得他们更容易出错。因此，防范疲劳也应该成为组织安全政策的一部分，如同交规强调不可疲劳驾驶一样，组织需为员工提供疲劳对策，比如通过强制休息、轮岗等措施，以防范机械和麻木。

组织需要向员工们提供一份安全政策清单，其中包括所有重要的强制性常规任务和一个自我执行的指标，以确定他们是否已完成常规的安全任务。一方面，在网络安全、数据丢失预防以及信息系统程序方面，组织需要制定强有力的政策和程序以保护免受各种威胁；另一方面，组织应通过教育培训活动，以确保所有员工都熟悉公司安全政策并有动力遵守规则。这两方面缺一不可，没有强制性的技术、流程等管控措施，教育培训只能流于形式；同样，没有教育培训，技术和流程等控管措施不会获得好的效果、不会生效甚至适得其反。

为帮助降低人为错误带来的风险，安全策略应明确概述如何处理关键数据、如何保护密码安全、使用哪些安全软件等等。组织应确保所有员工都熟悉安全政策并有动力遵守安全规则，仅在需要时根据具体情况允许特权访问，并监控用户活动以检测恶意活动。对此，董志军补充说：安全政策的缺乏，或实施方面的差距都会导致安全漏洞（弱点）。此外，安全环境和威胁不断演变，定期审查关键政策对于有效实施它们也是必不可少的。

工作场所中的任何人为错误都会对组织的设施、运营、客户关系和信誉产生级联影响。因此，制定稳健的政策和流程以减少人为错误至关重要。所有用户必须采取预防性措施来保护自己和他们负责的数据。组织机构和员工们必须保持警惕，不要让幼稚、懒惰或疲劳对工作环境的信息安全带来隐患。在信息安全方面，当用户们拥有了知识、责任感和警惕心，那些通常会导致人为失误的无知、冷漠、麻木等人性弱点就会被修复、压制和磨灭。

总之，在信息安全事件中，人为失误因素带来的损失不容小觑，为了防范人性弱点，必须建立强有力的政策和程序，同时提供足够的安全意识教育培训，以加强员工们对安全策略的理解、认可和贯彻实施。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

云计算和移动化让传统的网络安全控管边界失效，同时也激发了诸如零信任之类的网络安全架构方面的创新，不过尽管如此，创建漏洞的员工们依然是网络犯罪分子突破组织安全防御时的好朋友。对此，昆明亭长朗然科技有限公司网络安全研究专员董志军说：尽管技术型的安全保障很重要，但是在保护工作单位的信息免受各种形式、规模和动机的网络犯罪分子侵害时，员工仍然是安全防线中最薄弱的环节，是木桶中的最短的一块儿板子。

坚定的网络犯罪分子定期通过复杂的网络钓鱼攻击，诱使粗心大意的员工们上钩，通常采取以下破坏安全性的伎俩：

• 禁用、避开或越过安全管控措施，例如防病毒软件和防火墙软件等等。
• 从可疑网站下载文件，这些文件会将恶意软件安装到电脑、平板和智能手机等计算设备上。
• 单击来自陌生或危险域名的网络钓鱼邮件中的恶意链接。
• 打开包含启动恶意代码的电子邮件附件。
• 回应仿冒的请求，将重要的信息，比如账户、密码、战略、机密等合盘托出。
• 误认为受到了上级或供应商的指示，将款项电汇到骗子指定的银行帐户。

以上网络钓鱼的风险非常普遍，我们通过各类媒体，经常都能看到类似的事故。组织需要唤醒员工的安全意识，以更加了解风险并更加警惕保护数据和计算基础架构。以下是针对员工们的安全意识计划宣传方案建议。

实施计算设备使用政策

传统上，由于国内缺乏透明的法治环境，很多企业机构也以“人治”为主，造成员工们不知道哪些信息系统使用行为是应该的，哪些不是，进而给网络犯罪分子以可乘之机。为防止因员工无知带来的网络安全风险，在政策层面，各类型的组织机构应该：

• 制定可接受的计算机和互联网使用政策。这是为员工们使用信息系统指定一个大的方向，政策应该指定哪些行为是可接受的，比如鼓励员工报告可疑的消息；也应指定哪些行为是不可接受的，比如禁用安全程序或发布不法消息。
• 确保该政策内容包括关于密码分享的禁令。有些小团队为了协同工作而内部分享密码，这种情况早期很普遍，因此带来不少的安全隐患，必须有政策禁止密码分享，这是提升安全，让员工们担负起保护账户的原则。
• 让每个员工和承包商阅读并签署政策。如同保密协议一样，信息设备使用政策也需得到签署，以表示员工们对此的认可和承诺。
• 告知违反政策的行为将记录在人事档案中，这将成为绩效评估、计算奖金、晋升事项和解雇理由的因素。这是确保政策执行力的关键措施，否则人们将会忽视规则，以及网络安全要求。

举行安全意识活动

只靠员工签署信息系统使用政策并不足够，很多员工可能并不会认真地阅读文本，也可能不会很好地理解其中的内容精要，也有一些员工可能会在实际工作时忘掉或者不能将政策与实际工作结合起来。因此，要降低网络安全风险，各类型的组织机构应该：

• 提供安全意识知识内容。可以自行创作编写，也可以采购专业的网络安全意识作品，包括动画视频、宣传图片和电子课件等等。
• 让所有员工和供应商每年都参加安全意识刷新。每年进行安全意识刷新，以防止遗忘，并紧跟安全威胁态势的发展，为确保学习质量，需要进行知识能力的考核。
• 定期沟通讲解电子邮件、社交媒体和互联网使用中的安全风险。安全意识沟通需要长期不断地进行，以让员工们逐渐养成良好的安全习惯，也促进组织机构的安全文化建设。
• 讨论和分享组织内部和行业发生的安全事件，并从中汲取教训。从安全事件中汲取教训是防止类似网络安全事件再次发生的关键措施，分析安全事件的根本原因，有针对性的提升安全意识。
• 定期通报对可接受的信息系统使用政策的审查结果。没有检查，没有衡量，就没有效果。定期检查员工们的安全表现，检查计算设备的安全运行情况等等，并进行通报，奖励做的好的员工，带动良好的网络安全文化氛围。

将供应链纳入安全意识计划

现在，大多数组织都允许供应商、分销商和客户有限地访问他们的某些系统。供应商安全管理不当引起的一些安全漏洞，被网络犯罪分子使用获取访问权限的事件偶有发生，需要引起重视。因此，组织机构应鼓励或坚持其供应商和分销商应执行降低安全风险的计划，其中包括互相检查常规的安全控管措施和对供应链相关部分进行安全意识沟通。

进行年度安全意识审核

组织应进行年度审核，以向管理层保证安全意识计划在最大程度地降低网络安全风险和数据泄露风险方面的工作。审核范围应包括对以下内容的审查：

• 违反可接受使用政策的情况。
• 适当和不当访问系统的统计。
• 员工发现和报告安全事件的情况。
• 安全意识培训活动的参加情况。

唤醒员工安全意识是一件长期而琐碎的工作，不仅需要坚持不懈的努力，也需要良好的沟通技巧和沟通素材。昆明亭长朗然科技有限公司精心创作了大量的网络安全意识宣传培训作品，包括电子课件、动画教程和宣传图片，欢迎有兴趣、有需求的客户及合作伙伴联系我们，进行作品的预览和采购。