您的企业是否有员工？如果是这样，信息安全（意识）对于您在虚拟犯罪日益增长的行业中保持生存至关重要。当然，大多数人都知道网络黑客，黑客入侵网络、盗窃他人虚拟身份和机密信息、甚至进行破坏，这些事情几乎每天都会出现在新闻中。组织可以通过安装网络防火墙、防病毒软件以及实施全面的网络安全防御系统来保护自己免受在线威胁。

问题是：如果没有嵌入式的信息安全意识和执行文化，所有这些花哨而昂贵的系统能给您带来的好处都不会太多。对此，昆明亭长朗然科技有限公司信息安全意识培训讲师董志军表示：员工是您组织在网络安全领域里最薄弱的环节。它被称为“人为因素”。在云计算时代，犯罪分子知道访问安全网络或窃取数据的最简单方法是针对已经拥有访问权限的员工发起攻击，只要窃取了目标员工的登录凭据，便可进一步渗透，获得很多关键成果。

为什么信息安全意识如此重要？

您是否知道90％的系统安全漏洞是由于人为错误造成的？更为重要的是，只有40％的全球组织表示他们已准备好应对复杂的网络攻击。更糟糕的是，多达50％的公司表示他们在过去一年内内经历过一次或多次攻击，而这个数字每个月都会上升。

社交工程是网络犯罪分子当前最喜欢的策略，这种策略是对受害者进行心理操纵，以说服他们自愿或无意地提供私人数据，然后将这些私人数据用于邪恶目的。另一个突出的技术是网络钓鱼，即将事先构建的虚假电子邮件或链接传播给员工，然后获取他们的登录凭证如账号、密码、Cookie等。事实上，目前，90％的网络攻击源自网络钓鱼诈骗，因此网络钓鱼意识培训至关重要。

除了这两个，恶意软件也是一个持续的威胁，人们随意下载的应用程序或软件旨在危害他们的设备或提供黑客远程访问网络。为什么人们要随意下载应用程序呢？一方面是安全规章制度得不到落实，另一方面是人们没能意识到随意下载软件的危害。

哪些人员应参加信息安全意识培训课程？

您的员工是您防范网络犯罪的第一道防线。这就是信息安全意识培训发挥作用的地方，为您的员工提供保护自己免受犯罪分子侵害所需的知识和技能。

所有可以访问与工作相关的计算机或移动设备的员工、供应商与合作伙伴人员都应接受全面的信息安全意识培训。在今天这种信息化时代，这意味着几乎所有人，因为所有的人员都可能成为攻击者的目标。这些人的手机可能仍然拥有可用于访问内部网络的数据。或者，如果员工成为身份盗用的受害者，他们的独特信息可用于创建与您的品牌链接的虚假个人资料，从而允许实施五花八门的欺诈行为。

通过为所有员工提供信息安全意识和培训，您可以在网络攻击或在线欺诈完全实施之前对其进行识别和阻止，从而最大限度地减少对您的品牌的损害并降低恢复成本。同时，对大型复杂的机构而言，与第三方进行数据交换的业务流程可能会很多，通过对员工的信息安全意识培训，可以辐射到供应商与合作伙伴。

信息安全意识培训的花费如何？

培训费用因提供机构、他们的标准以及接受培训的员工人数而有很大差异。成本中包含的一些常规的内容如课程材料、讲师配置、设施设备、测试及报告、以及外部技术服务。当然，安全意识培训的方式和方法多样，因而培训价格是可调整的，通常来讲都是根据预算情况，灵活安排培训强度水平，以确保培训活动符合行业法规。

举例来讲，五十名学员的机构往往只需花费五千元进行一次全面综合的在线信息安全意识培训。而拥有五万名学员的机构，可能会考虑更为多样的信息安全意识培训活动，包括线上电子学习、安全意识评估、模拟网络钓鱼和线下互动式活动。对此，昆明亭长朗然科技有限公司信息安全意识培训讲师董志军称：其实我们很多客户在培训方法战略上，比如该外包服务还是自行实施，该采用哪种形式，都有大致初步的想法，这些都是和其培训环境、安全势态、预算情况、人员能力等等现实条件分不开的。

信息安全意识培训内容如何设计或选用？

在制定了适用的培训方法和战略之后，便可进行信息安全意识培训内容创作或采购，通常来讲，您熟悉组织内外的情况，最为了解需要哪些安全意识培训主题，但是在内容的设计创作方面，您往往没有太多的精力，这些更适合交给专业的创意机构或信息安全意识培训公司来进行。

昆明亭长朗然科技有限公司拥有丰富的企业安全管理及顾问咨询经验，可以帮助各类型企业建立适当的信息安全意识宣教计划，以及向员工提供必要的标准化和定制化的信息安全意识教育活动。欢迎有相关需求的，或者有兴趣合作的人员与我们联系。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

在很多IT安全专业人士眼中，针对普通用户的信息安全意识教育培训是很“小儿科”的。然而，即使是安全技术专家，也不得不承认一个事实，那就是越来越多的针对企业级信息系统的攻击开始借助普通用户薄弱的安全防范意识，臭名昭著的高级可持续性威胁APT便是如此。

普通用户、VIP人员越来越多地成为网络犯罪分子入侵关键信息系统的跳板，甚至IT人和安全人，也都会面临各种各样的社交工程学攻击手法，这便让诸多信息安全管理人员将目光转向针对全员的信息安全意识教育领域。

如何开始呢？如何科学地制定和实施一套信息安全意识推广计划呢？昆明亭长朗然科技有限公司信息安全意识顾问董志军说：这是一个相对古老的管理话题，在此之前我们有多次谈到过，随着时间的推移，内容多少有些变化和更新。我们假定一家大型集团公司开始启动正式的信息安全意识推广计划，如下是整个计划的概貌。

一、计划概要

借助发布或更新安全政策与标准之时，首次配以一次大型的信息安全意识宣传推广活动。每月或每季度分批次分重点，进行不同安全主题的沟通宣传。针对全员的安全意识每年进行一次全面的刷新，并将其纳入新员工入职培训活动计划中。

二、初次推广

不管是首次发布、还是重大变更了集团层面的信息安全方针政策和标准指南，都需要进行大型的安全意识推广活动，如果是初次活动，我们建议使用较为全面的、涵盖了大部分信息意识主题知识点的教程资源，当然最好能使用一些定制化的内容，比如邀请高管讲话，或录制高管的讲话视频等等，以显示高管层对信息安全的重视和承诺；有了这些，员工们才会更加认真对待信息安全。

三、分批推广

每月或每季度分批次分重点进行不同安全意识主题的沟通宣传，可以更深入地宣传相关主题的内容，让员工们更加理解安全政策和标准的精神，在强化相关制度流程的执行力的同时也可以起到不断提醒员工们注意保护信息安全的作用，经常提醒，才更容易让信息安全成为习惯和文化。要深入不同的安全主题，特别是结合具体的商业环境、信息安全目标、战略、标准、流程等等，通常需要量身定制宣传推广内容。

四、年度刷新

每年审议和更新一次信息安全方针政策和标准指南，与此同时，全面刷新一次员工们的信息安全意识认知，教程资源可以在此前的基础上进行定制化的改进，以尽量减少重复不变的内容，免得枯燥乏味。当然，对于重点的需要重复强调的部分，仍然要保持重复使用。

五、入职学习

对于新员工，在入职培训期间，也要求进行一次全面的信息安全意识学习和考核，以保证全体工作人员都拥有基本的必需的信息安全意识。学习内容可以是最近一次针对全员的安全意识推广活动教程资源。

六、定制建议

信息安全管理处于初级阶段

对于计划初始做信息安全意识推广，但针对全员的常规性的信息安全意识培训制度尚未建立起来的客户，我们通常建议客户在最开始时，先选择一批通用的宣教资源或课程，少量定制。这样可以快速实施安全意识推广活动，并且节省大量的宣教成本。对于IT安全团队来讲，可以参考教程资源中的内容精华，改进安全管理工作和积累活动经验，同时降低项目计划风险和试错成本，还能留给下一年信息安全意识活动更多的改进或提升空间。

信息安全管理处于成熟阶段

对于信息安全文件体系比较完善，制度化管理水平较高，针对员工的信息安全培训已经成为常规工作的客户，我们则推荐定制化内容开发。因为很多安全相关的标准和流程都已经在实际工作中实践了，培训相关的原始素材也都有了不少，定制开发有了相对明确的输入内容。这时用新的方式来增强内部沟通，可以强化员工们对信息安全相关要求的理解、以及对相关安全理念的全新认知。对于信息安全团队来讲，定制课程的项目计划可控性强，成功率高，风险低。

总结来讲，如果我们在前期没有进行过大规模成体系的信息安全意识宣传活动，那么无疑员工们的信息安全意识水平是较低的，不管是通过风险评估、员工面谈、考核测试还是模拟渗透，几乎都可以得出这个结论。只是要进行全员信息安全意识的提升，科学的工作方法如何？如何衡量信息安全意识工作成效？如何让信息安全意识培训更贴近企业的实际商业环境和信息安全管理流程和规章制度？我们在一篇短文中可能介绍不了这么多，不过，如果您有兴趣了解更多，您可以直接联系我们，咨询更多详情。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898