除了市场经济计划体制下的官营有政府做担保之外，传统的民营私营实体经济往往仍停留在“一手交钱、一手交货”或“熟客交易”阶段。尽管在同一个中央集权国家的统一法制体系之下，多数民企遵纪守法，但是违背商业伦理、缺乏契约精神的无赖企业家依然常见，这种现状显然影响着企业家们的创新和开拓精神，也制约着传统行业的发展和壮大。

电子商务的优势除了降低仓储和店铺成本之外，需要解决的重点是建立信任机制，电商通过交易担保来帮助建立信任机制是一种中国式的伟大创新，但是对于构建商业伦理和契约精神却可能是起到负作用——一旦没有了这个中间担保机制，人们便会借机使出各种“恶”来。而如果没有这种中间担保机制，这个社会问题反倒可能会逐渐得到自我修复直到最终解决。昆明亭长朗然科技有限公司电子商务行业信息安全观察员James Dong举例说：这就是为什么一些沿海企业不担心远在地球另一端的外国客户付款，反倒对国内客户的耍赖提心吊胆的原因。

电商行业竞争异常激烈，让不遵守商业规则、急功近利的价格战、媒体战、广告战等事件层出不穷，消费者仿佛能够从中受益，因为某家某产品可能比竞争者便宜了五毛或一块钱，但是这里却付出了更多的时间资源和社会成本，更不用说那些虚假的促销活动更是在浪费人类宝贵的资源。

电商行业要考虑到生态文明和可持续发展，并将这些理念应用到信息安全管理体系之中，在信息系统开发的需求搜集阶段便要考虑信息安全需求。

首先，要将要考虑人文要素，考虑到如何防范黑客窃取用户帐户及资金、用户如何强化个人帐户安全保障；

其次，要考虑到员工及合作伙伴的安全操作，建立必要的审计监察功能，防止各类违法违规违纪的内幕操作。

最后，亦要考虑竞争者的恶意访问和窃取敏感信息数据，以及防范价格出现异常的情况。

上述三点主要集中在信息系统的信息安全技术控管层面，不过，即使利用大数据构建的人工智能系统，也无法替代必要的人工操作，我们需要建立必要的信息安全运营管理流程，以满足必要的业务安全控管目标。如下昆明亭长朗然科技有限公司向您分享几点必要但并不全面的信息安全运管流程。

首先，在处理客户问题方面，一部分信息安全相关的事件需要得到适当的标识、跟进和有效处理，我们简称客户信息安全事件管理流程，此流程可以基于ITIL之类的IT服务管理系统构建。

其次，各类系统本身的安全问题的识别和解决，这些问题的来源一方面可以是其它流程的输入，比如客户信息安全事件管理的报告输出显示同一个系统最近出现大量的同类安全事件，则应该输入到信息系统安全层面寻求解决；信息系统监控中心可能发现异常的访问流量，也应该通知系统安全事件管理流程；

最后，则是有效控制变更，不少信息安全相关的事件都是由于变更管理不善而引起的，虽然变更管理可能牵扯到信息安全控管范围之外的更多内容，但是在变更管理中加入必要的信息安全元素必不可少，比如变更之前的数据备份、受影响用户如何的沟通、以及回溯计划等等都应该受到适当的评估和事前准备。

我们还要补充一点的是虽然信息安全管理并非电商的核心竞争力，也无法干涉业务领导层的一些战略决策，但是却可以从安全理念上安全伦理上给出积极正面的帮助，这些信息安全领域的管理理论和要义无疑也能帮助电商企业构建积极健康的职业操守和企业文化。商业管理方面的薄弱往往是电商行业的软肋，这些软实力往往决定一家企业的信誉和公共形象，而在电商企业内部推进信息安全企业文化建设，无疑可以从员工们的信息安全意识培训开始。

总之，信息安全管理体系建设不仅能够帮助电商解决业务流程中的安全问题，也能给客户和供应链带来更多安全方面的信心和保障，更能促进电商企业管理水平的提升以及推进积极健康的职业操守和企业文化建设。

近年来，越来越多的信息安全部门被要求处理复杂的任务，而把最佳做法置于一边，这种情况令人忧虑。国家互联网应急中心一位不愿具名的安全老手说：解决复杂性的答案在于信息安全意识培训。

我们可以看到，越来越多的工作任务要由人们使用信息科技来完成。这就让信息系统和环境变得越来越复杂，我们的信息操作员会在多种不同的设备上，使用多个不同的软件应用。在这种局面下，网络防御变得越来越困难。例如，我们很难确保人们都严格遵照固定的安全操作指令要求来行动，这就给攻击者提供了在复杂的环境中实施攻击的机会。

在网络安全防护方面，我们应该如何将钱花在刀刃上呢？国务院国有资产监督管理委员会早对下属国有企业下达了指示：强化组织保障，加强全员信息安全教育培训工作，把相关培训纳入员工培训计划。同时，完善制度规范，建立健全企业敏感岗位的信息安全责任制，加强员工入职信息安全教育。简单说，就是要花更多的钱来更好地培训我们的员工。

当然，除了国资委相关要求之外，网络安全法、保密法、国家安全法、等级保护制度、信息安全管理体系等也都有对员工进行信息安全教育培训的要求。要说国资委等下达的指示多的是，为什么偏偏要特别提及员工安全意识培训呢？昆明亭长朗然科技有限公司员工信息安全培训讲师董志军说：我们分析了很多信息安全事件，发现训练有素、信息灵通的员工可以更好地帮助组织降低网络风险。

那么，该对谁进行信息安全教育培训呢？科技部门人员或用户呢？大多数人会觉得IT团队中的人应得到更多的训练，不可否认的是通过加强对技术团队的安全培训，我们可以让信息系统变得更为安全。但是，信息安全教育培训必须是横跨整个组织的，比如那些有针对性的钓鱼活动，利用的不是技术系统的弱点，而是人性的弱点。所以，在网络安全利害关系方面，所有人都有责任，所有人都是所在公司和家庭的一道网络安全防线。正因为如此，持续性地培训全体员工更为紧要。这其中，重要是通过不断地锻炼和实践，来激发学员的信息安全学习动力。

为什么要持续进行，还要不断地实践呢？董志军表示：一方面，持续不断地进行实践，可以让我们保持安全警觉。这和应对战争的军事准备一样，闲时我们要练好兵，不能懈怠，不然战争威胁来临，仓促应对往往必败。另一方面，不断持续地进行信息安全实践，有利于我们跟进和应对新兴威胁，比如新型威胁已经开始针对生物特征识别了，我们的信息安全教育培训仍停留在密码保护层面，那就不足够。就如同没有及时更新系统安全补丁一样，没能及时更新人员对安全的认知。

如何不断地进行信息安全锻炼呢？在实践中，我们发现的最好的锻炼方式是通过桌面练习和模拟训练。

桌面练习贯穿于我们日常工作节奏，比如典型的信息安全意识在线培训，定期的培训用于刷新员工们的安全记忆，强化安全敏感度；加之工作区域及桌面安全检查，让员工们时刻保持工作区域和个人计算方面的良好安全习惯。

模拟训练就类似我们的军事演习，我们会模拟各种安全场景，用以挑战学员：如果发生这种情况，您会怎么做？哪些信息对您是最重要的？您如何保护它们……

通过不断地信息安全锻炼，我们能够不断推动组织信息安全文化建设，不断提高员工们的安全实践能力，进而让员工们更好地帮助管理组织面临的网络风险。

对于信息安全管理负责人来讲，可以根据所有练习中的发现调整安全资源，合理分配，以最好地管理网络风险。

多年来我们一直在谈论安全意识培训，直到现在这仍是一个激烈辩论的问题。董志军总结说，网络安全业界主要激辩的焦点是如何衡量安全意识培训的效果，这其实如同在网络安全方面的投入和产出一样，很难精准量化。不过这并不影响业务对信息安全意识教育培训工作重要性的认识，在国家层面，我们发现越来越多的网络安全宣教活动，网络安全宣传周便是其一。同时，大量的世界级组织也在不断进行意识培训，以提高员工们的信息安全水平。

当然，也有一些方法论，比如通过信息安全意识测试、模拟网络钓鱼等等方式，来通过数字的方式衡量员工们的安全意识水平。尽管这些方法论是否科学仍然存有争议，但这些努力仍然是正向的，尝试使用知识测试和模拟钓鱼的方法，至少也是在不断进行信息安全方面的训练。

昆明亭长朗然科技有限公司是国内信息安全意识培训领域的领跑者，通过引进欧美相关产品，到自主设计开发符合国情的信息安全意识宣教内容，一步步走来，服务了大量的知识客户，也积累了大量的实战经验。欢迎联系我们洽谈业务合作。

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：[email protected]

QQ：1767022898