在很多IT安全专业人士眼中，针对普通用户的信息安全意识教育培训是很“小儿科”的。然而，即使是安全技术专家，也不得不承认一个事实，那就是越来越多的针对企业级信息系统的攻击开始借助普通用户薄弱的安全防范意识，臭名昭著的高级可持续性威胁APT便是如此。

普通用户、VIP人员越来越多地成为网络犯罪分子入侵关键信息系统的跳板，甚至IT人和安全人，也都会面临各种各样的社交工程学攻击手法，这便让诸多信息安全管理人员将目光转向针对全员的信息安全意识教育领域。

如何开始呢？如何科学地制定和实施一套信息安全意识推广计划呢？昆明亭长朗然科技有限公司信息安全意识顾问董志军说：这是一个相对古老的管理话题，在此之前我们有多次谈到过，随着时间的推移，内容多少有些变化和更新。我们假定一家大型集团公司开始启动正式的信息安全意识推广计划，如下是整个计划的概貌。

一、计划概要

借助发布或更新安全政策与标准之时，首次配以一次大型的信息安全意识宣传推广活动。每月或每季度分批次分重点，进行不同安全主题的沟通宣传。针对全员的安全意识每年进行一次全面的刷新，并将其纳入新员工入职培训活动计划中。

二、初次推广

不管是首次发布、还是重大变更了集团层面的信息安全方针政策和标准指南，都需要进行大型的安全意识推广活动，如果是初次活动，我们建议使用较为全面的、涵盖了大部分信息意识主题知识点的教程资源，当然最好能使用一些定制化的内容，比如邀请高管讲话，或录制高管的讲话视频等等，以显示高管层对信息安全的重视和承诺；有了这些，员工们才会更加认真对待信息安全。

三、分批推广

每月或每季度分批次分重点进行不同安全意识主题的沟通宣传，可以更深入地宣传相关主题的内容，让员工们更加理解安全政策和标准的精神，在强化相关制度流程的执行力的同时也可以起到不断提醒员工们注意保护信息安全的作用，经常提醒，才更容易让信息安全成为习惯和文化。要深入不同的安全主题，特别是结合具体的商业环境、信息安全目标、战略、标准、流程等等，通常需要量身定制宣传推广内容。

四、年度刷新

每年审议和更新一次信息安全方针政策和标准指南，与此同时，全面刷新一次员工们的信息安全意识认知，教程资源可以在此前的基础上进行定制化的改进，以尽量减少重复不变的内容，免得枯燥乏味。当然，对于重点的需要重复强调的部分，仍然要保持重复使用。

五、入职学习

对于新员工，在入职培训期间，也要求进行一次全面的信息安全意识学习和考核，以保证全体工作人员都拥有基本的必需的信息安全意识。学习内容可以是最近一次针对全员的安全意识推广活动教程资源。

六、定制建议

信息安全管理处于初级阶段

对于计划初始做信息安全意识推广，但针对全员的常规性的信息安全意识培训制度尚未建立起来的客户，我们通常建议客户在最开始时，先选择一批通用的宣教资源或课程，少量定制。这样可以快速实施安全意识推广活动，并且节省大量的宣教成本。对于IT安全团队来讲，可以参考教程资源中的内容精华，改进安全管理工作和积累活动经验，同时降低项目计划风险和试错成本，还能留给下一年信息安全意识活动更多的改进或提升空间。

信息安全管理处于成熟阶段

对于信息安全文件体系比较完善，制度化管理水平较高，针对员工的信息安全培训已经成为常规工作的客户，我们则推荐定制化内容开发。因为很多安全相关的标准和流程都已经在实际工作中实践了，培训相关的原始素材也都有了不少，定制开发有了相对明确的输入内容。这时用新的方式来增强内部沟通，可以强化员工们对信息安全相关要求的理解、以及对相关安全理念的全新认知。对于信息安全团队来讲，定制课程的项目计划可控性强，成功率高，风险低。

总结来讲，如果我们在前期没有进行过大规模成体系的信息安全意识宣传活动，那么无疑员工们的信息安全意识水平是较低的，不管是通过风险评估、员工面谈、考核测试还是模拟渗透，几乎都可以得出这个结论。只是要进行全员信息安全意识的提升，科学的工作方法如何？如何衡量信息安全意识工作成效？如何让信息安全意识培训更贴近企业的实际商业环境和信息安全管理流程和规章制度？我们在一篇短文中可能介绍不了这么多，不过，如果您有兴趣了解更多，您可以直接联系我们，咨询更多详情。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

经过多年的发展，信息安全管理体系标准逐渐同ISO 9001质量管理体系和ISO 14001环境管理体系等等之间建立了和谐的关系。在多项工作的方法论上进行了统一，这一步骤反映了一些组织将信息安全同其管理系统进行整合和一致性调整的尝试。对此，昆明亭长朗然科技有限公司信息安全研究员董志军表示：很多企业机构都建立有标准化的制度体系，往往以文档管理系统的方式而存在，按照框架来讲，不管是质量、安全、环境、可持续发展、风险管理、业务持续还是信息安全等等，都可以使用该框架。

ISO 27001 附录C以及整合
ISO 27001 附录C只是参考性的，而非强制性的——并没有组织被要求来设法整合进它的管理系统。附录C列出了其中个别条文如何对应ISO 9001和ISO 14001中的条文。对于大多数，但不是所有的组织来讲，关键的对应关系将是ISO 27001与ISO 9001的。如下的ISO 27001条文是管理系统集成的出发点：
1) 第4.3条，其中涉及文档需求
2) 第5.1条，其中涉及管理层承诺
3) 第7条，其中涉及管理审查
4) 第6条，其中涉及内部审计。
他们之间这些相同的条文，使两个管理系统可能部署共同的文件体系、管理以及审核流程。

综合管理系统
一套综合管理系统只需要：
1) 一份程序手册，其中包含质量和信息安全的程序
2) 一套全面和综合的审计程序，内容包括审查过程所有方面的活动
3) 标准的管理授权、批准、监测和审查流程，它将处理所有落在这些适用范围内的活动，这些范围包括信息安全管理体系，质量管理体系或环境管理体系。

ISO 9001
已经拥有同ISO 9001标准相兼容的系统的组织可以很简单地添加一些，就可获得ISO27001认证认可的信息安全管理体系。条文1.2已经提到这一点：
“如果一个组织已经有一个可操作性的业务流程管理系统，在大多数情况下，它可以用来满足本国际标准在这个现有的管理体系之上的要求。”

反思与检讨

刚入门的职员甚至技术类的信息安全专员们可能并不喜欢综合管理系统，文档的格式化要求看起来有些复杂。其实，看似局部复杂的东西，一经整合，反倒会使整体变得简单。针对不同的标准，很多可复用的部分，一旦集成起来，可以省出很多重复性的工作。比如服务外包领域的认证，今天可能是IT服务管理，明天可能是软件质量管理，后天可能是云服务管理，它们之间有相同的或重复性的文件和流程，就要以合并起来，以节省工作资源。

有些职员们不喜欢综合管理系统的一个重要原因是没有认识到好处，进一步深究，即是没有得到系统的制度化工作培训，缺乏这方面的实践。对此，董志军表示：让职员们了解管理体系的政策、标准和流程，以及与自身日常工作的关系，是非常必要的。昆明亭长朗然科技有限公司不仅在信息安全领域创作了大量的宣传教程，以帮助职员们理解和认识信息安全政策、标准和流程的精神要义；同时也在更为广泛的安全领域，创作了大量的安全生产、职业卫生、职场健康和环境保护等话题的宣传资源。欢迎重视制度化管理，希望建立安全文化的组织机构联系我们，预览我们的课程内容，以及洽谈合作事宜。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898