不少IT专业人员认为老板们似乎根本不关心信息安全，原因是他们根本不懂信息安全。

不可否认的是，多数老总们并非做信息安全相关的技术出身，也不理解信息安全管理相关的指导理论和实践方法。不过，由于信息安全并非多数商业机构的核心竞争力，所以老总们不关心信息安全的现状是可以理解的。

那信息安全从业人员该怎么办呢？昆明亭长朗然科技有限公司安全管理顾问James Dong总结说：粗略地讲，在面临业务单元的老总们不认同信息安全，不重视信息安全，也不愿投资信息安全的时候，信息安全从业人员有如下三种选择：

• 选择离开，“此处不留爷，自有留爷处。”世界如此之大，找一家更重视信息安全的单位，谋一个信息安全相关的职位并不会太难，即能让兴趣得到满足，也能让专业技能得以更好的发挥。
• 选择退却，或者混混日子，呆在那儿，干点轻松的活儿，对得起那不算很好也不算很坏的报酬就行了。或者在其它周边寻找机会，可以用来谋生和晋级的途径很多，何必局限在信息安全一个狭小的领域呢？突破信息安全这个太专业的阻碍职业发展的天花板，会发现发展和上升空间是如此巨大。
• 选择突破，老总们不关心信息安全，并非信息安全不重要，他们不懂信息安全，那我就让他们懂。小到在单位层面成功建设了信息安全管理体系，大到在整个信息安全产业层面的不断进步，都与这些坚定而执着的专业人员的积极推动力量和努力奋斗精神不可分割。毕竟，高级人生的意义就在于对历史有所改变和对社会创造不同。

简单说，如上三种选择都很常见，也无所谓正确或错误的选择。毕竟，人各有志，萝卜白菜，各有所爱嘛。我们要说的是选择突破的这些信息安全职业化勇士们，该怎么去改变业务不懂信息安全这个严重的现状呢？

其实，要说业务一点儿都不懂信息安全，那也是太不公平啦。这年头，小孩儿都知道黑客、小偷和病毒是计算机信息系统的安全威胁，何况公司老总们呢！不过不可否认的是公司老总们对信息安全的认识往往有一定的局限性，至少停留在其有限的知识面内，毕竟他们没有专业领域的专业人员研究专业问题所花费的那么巨大的时间和精力。

从历史原因上看，其实多数年龄较大的高管们所接受的正规高等教育并不多，电脑操作都不熟，还懂什么信息安全？即使是那些稍年轻的受过正规高等教育的有过海外学习和工作经验的，也不见得就懂信息安全啊，毕竟这是个不断变化的新兴行业，再说隔行如隔山啊。

既然了解了这点，就应该从这方面来寻找突破，用老总们容易接受的语言，用老总们熟知的环境为背景，站在老总们的角度和立场上，来描述一个个信息安全场景和案例。比如营销总监关心公司的投标信息的保密性，您就得举一个销售员不小心透露标底给竞争对手的安全案例。法务总监关心合规性，您就得举个例子，如曾经有员工上不良网站发表不当言论还有下载版权内容给公司带来了监管机构的重罚和商业诉讼官司。人力资源总监关心员工薪金的机密性和优秀员工的流失率，您就得举例子说有员工私下谈论工资奖金数额并随意向猎头公司披露部门架构、员工职位能力和绩效表现，弄得竞争对手把一个关键项目的核心团队成员都被挖走了……

信息安全专业人员可能觉得这些没有搞Web渗透测试和移动设备安全漏洞的挖掘那么有挑战性，其实啊，业务部门人员对这些信息安全技术的挑战者往往没有兴趣，所以，即使您不打算放弃这些专业的安全技能，也最好不要在业务部门大佬们面前表现出深不可测的样子。您应该用一些朴实的普通人能听懂的话，也就是受众能理解的语言来沟通安全理念和事务，才能被认可和接受。

最后，昆明亭长朗然James说：业务部门老总们不懂信息安全，其实不是他们的错，信息安全并非他们的核心竞争力也非专业技能，我们不应该对他们要求太高，更不能看不起他们。如果您是公司的信息安全人员，但是您却认为老板们不关心信息安全，那问题的根源在您本身。因为让他们懂信息安全是您的不可推卸的职责，他们应该懂哪些呢？应该懂到什么程度呢？这些也是昆明亭长朗然科技有限公司的企业安全意识培训顾问们关心的话题，欢迎和我们一起探讨。

在国内大的背景下，面对家庭和个人用户的计算终端安全都已经免费；而面向企业级的网络信息安全产业似乎只为特定行业而生，大到拿国家项目巨额补贴的信息安全概念股，小到分食信息安全集成项目的独立安全顾问，无一不是在吃党和政府的“政策饭”。

刚性的需求也有，病毒、黑客和商业间谍只是众多安全威胁的一小部分，虽然开源的系统足以满足大量的企业级安全控制需求，但是开源是技术极客和英文高手们的天堂，懒汉和菜鸟们只能仰天长叹。同时，基于开源系统的安全服务概念尚未被成功商品化，多数厂商只能雇佣一批批软件开发人员，勾画出华丽而傻瓜化的中文界面，尽管其核心仍然是开源技术，然而在知识产权的激励机制下，便摇身一变，成为民族的“自主创新技术”。更重要的是，这些软件产品，外加上特别的硬件“盒子”，便很容易变成明码标价的网络信息安全产品。

信息安全培训和意识教育又是整个信息安全产业中的一小部分，当然也不能免俗，不过教育培训多倒是赤裸裸的服务，放在企业培训领域，信息安全培训则更像是沧海一粟。从人力资源的角度看，信息安全培训和意识教育是必不可少的，至少在信息时代，人们有信息资产如信息数据和信息系统需要保护，保护这些信息资产的人们需要有一定的安全能力和资质，显然这需要靠培训来获得。

然而，这些似乎并不是企业层面进行信息安全意识教育的驱动力量，那么驱动力量何在呢？昆明亭长朗然科技有限公司的安全行业分析师Richard Leung总结出如下几点：

法规遵循政策驱动

今天的上市公司不仅会被要求防范黑幕，更被要求进行必要的信息保密和披露措施，显然管理层如果不对员工们实施必要而充分的安全意识培训，在出现类似欺诈交易等恶性事故之后，很容易被监管层狠批在员工安全意识培训上不够称职。

而特定的行业则面临监控机构更多的安全规定，其中都不乏员工安全教育这一块儿。尽管这并不是安全监管的全部内容，只是一小部分，但是仍然需要安全意识培训方面的计划以及培训的日志记录。

应对法规遵循政策驱动力的安全意识培训应该如何进行呢？亭长朗然的安全讲师Alice Wong说：尽管在针对全体员工的安全培训上只有粗略要求，并没有详细的操作指引或细则，信息安全负责人仍然需要注意两点：一是找出组织机构需要遵循的安全法规，比如公安发布的计算机信息系统保护条例、重点行业的所需遵循的等级保护条例、行业监督委员会关于信息安全的红头文件等等。二是为支持对这些法规的遵循，需要对不同角色人员进行的不同培训。

客户信任业务驱动

大众对个人信息失窃的事件成为安全头条新闻已经变得心寒，并且开始觉悟。那些泄露或卖掉私人信息的商家已经开始失去客户的信任，甚至有客户开始采取法律手段来维护自己的权益。要重获信任并不容易，首先从内部抓起，要加强对员工进行安全和隐私保护教育，防止内鬼为了蝇头小利铤而走险，同时也要教育客户，展示公司的在数据的安全保护方面的作为遵循了法律法规的要求，让客户有足够的信心。

保障业务安全驱动

前两者是外在的驱动力量，而保障业务信息安全，无疑是内在力量，发自内在力量的安全意识教育往往能获得更好的效果。毋庸多说，基于技术和流程的安全控管措施可以在一定程度上保护信息资产的安全，然而大部分的信息数据却存在于员工们的头脑之中，而那些基于技术和流程的安全控管措施也需要与人们的互动才能发挥足够的作用，所以为保障业务的成功，无疑需要加强对员工们进行信息安全意识方面的教育。

是否有其它方面的驱动力量呢？当然有，比如提升企业的信誉，彰显管理层的作为、构建学习型组织等等，但是这些并非核心要素。驱动信息安全意识教育三大力量，才是安全意识培训负责人所背负的“三座大山”，昆明亭长朗然科技有限公司的重要任务便是积极有效地整合这三股力量，帮助安全培训负责人化被动为主动，最终轻松推翻“三座大山”。