现在几乎所有的信息安全管理负责人都认识到只依赖技术方面的安全控管是不足够的，与此同时，在流程和人员方面的安全控管越来越受到信息安全总监和经理们的青睐，尤其是针对全体员工的安全意识培训计划逐渐成为信息安全管理工作的重点。

由于信息安全意识教育是比较“软性”的安全控管措施，也没有相关的国际国内标准可以遵循，所以通常被认为比较难以衡量安全意识培训计划的成效。实际上多数组织在进行一两次大规模的安全意识培训活动之后，发现整体安全状况的改进并不十分理想。

为什么有些安全意识培训活动并达到所期望的效果呢？昆明亭长朗然科技有限公司的安全意识培训顾问Bob Xue说：当我们与多数安全意识培训计划负责人进行接触时，都会获得信息安全意识教育至关重要的积极反馈，然而谈论到安全意识培训活动成功的经验和失败的教训时，会强烈感知到客户的迷茫和无力。

在分析了林林总总的原因之后，亭长朗然公司的Bob总结了几条成功实施信息安全意识培训计划的关键要素，并且分享如下：

1.获得最高层的支持，信息安全管理中有Top Down Approach“至上而下”方法论，信息科技、安保中心、人力资源、员工培训等部门的负责人会认识到信息安全意识教育的重要性，但是并不能代表C-level的高管们也有同样的认识。获得高管们支持的办法并非需要太多的说服工作，但是要注意让信息安全意识计划的学员们知道高层对信息安全的重视，可以邀请一些高管，让他们现身对全体员工谈一谈信息安全，将高层要传达的安全讯息录制成安全意识教育视频。这种安全意识教育视频录制活动的好处是让高管们获得了重视信息安全、工作尽职尽责的美誉，中间经理层和员工们也更能接受最高管理层传递的信息安全理念。有了最高层的支持，就如同拿到了在组织范围内进行信息安全意识教育的“尚方宝剑”，不需要花费太多动员工作在中层经理主管和基层员工们身上。

2.安全意识教育计划和安全意识培训内容要结合实际的工作环境，每家组织都是独特的，不仅表现在组织架构和安全文化方面，就信息安全管理方面而言，每家组织需要保护的关键信息资产也各不相同，所使用的信息系统、工作流程和安全策略也各有差异。在制定安全意识教育方案时，一定要考虑到业务环境和信息环境，通用的安全意识教程可供参考，但是不能有太大的期望，毕竟不够定制化的服务更加贴身，更符合实际。

3.明确信息安全责任，讲一大堆信息安全对组织重要性的大道理往往会令基层员工有“听天书”的感觉。信息安全关乎所有人的职责，关键要通过信息安全意识培训计划，让全体员工了解到自身所要担负的安全角色和职责，不同部门和工种的员工的安全角色可能会有稍许差别，管理层的安全责任更加重大。安全意识教程要注意覆盖到所有部门和工种的员工，再结合起员工们的日常安全作业流程，简单而直接地告知哪些行为可以接受，哪些行为不可接受，方可让安全方针政策得到员工们的理解、消化和落实。

4.鼓励员工们积极向上的安全行为，让全体员工了解和履行安全职责可以保护自身范围内和部门级别的信息安全，同时组织范围内的安全环境也还需要全体员工参加共建。倡导正确的安全理念和积极向上的安全文化，并不是玩虚的，信息安全管理负责人需要拿出部门资源来引导员工积极参与信息安全策略和作业流程的建立和优化，更需要奖励为组织的整体安全文化建设做出杰出贡献的个人或部门，比如对发现业务流程或信息系统安全漏洞的员工给予物质奖励；对积极正确响应安全事故、帮助组织降低业务安全风险的员工进行精神表彰等等。积极向上的安全文化不仅是安全意识计划的追求目标之一，反过来也会促进安全意识计划的成功实施。

5.向员工们提供足够的安全支持资源，安全意识教育不应该只是搞个课堂培训、张贴一些标语海报、发放些信息安全意识传单。大部分的员工还是想在遇到信息安全问题的时候能够有正确的表现，只是有时确实不知道碰到问题时该如何处理。这就需要信息安全管理负责人能够提供尽可能多的资源给到员工们，设置组织内部“信息安全网站”是个不错的方法，可以将组织相关的信息安全策略、标准文档、安全流程指南，常见问题等等放置到信息安全内部网站上，供员工们在有疑问时自助查询。当然，还应该放置一些安全教程资源内容以及信息安全部门或团队的联系方式，以便有兴趣、需求或疑问的员工能随时学习或咨询。

6.采用有趣的互动性的安全意识教程，命令与控制型的单向灌输的教育方式已经不适合多数现代组织，一成不变的安全意识沟通方式也难吸引员工们的眼球。员工安全意识培训负责人需要不时换些花招，不时来一些安全意识电子期刊、一段安全培训卡通视频、一小段安全漫画、一个安全疑问及解答等等可能并不足够，因为缺乏互动。一个在线安全意识互动活动、一部在线安全意识培训课程、数十道安全意识测试题、三五个安全场景挑战等方式会让员工在参与过程中进行思考。只有他们进行了信息安全相关的“思考”之后，才会Know Why“了解为什么”在信息安全方面需要这样做，而不仅仅是Know How，该如何做。也只有员工们深刻理解了“为什么”之后，他们才能在各自独特的工作环境之内应用正确的安全理念。

简言之，那些只使用些酷眩的海报、月历和鼠标垫那些小玩艺儿便可进行信息安全意识教育的期望必定变成失望。想要成功进行信息安全意识培训计划，除了坚持不断执行上述几点关键要素之外，还是不断坚持和循环执行，这正呼应了信息安全管理体系ISMS的导入方法，即将PDCA持续改进的理念和方法应用于信息安全意识教育计划之中。

昆明亭长朗然科技公司不仅提供安全意识培训计划方面的咨询顾问服务，更能提供安全意识培训教程的量身定制设计、开发和制作。我们的专业信息安全意识推广经验和互动式的安全意识教程模板，可以为客户的信息安全意识计划带来大量的成功因子，欢迎与我们联系，即使是随便聊一聊信息安全管理相关的话题也会让双方受益。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898

基于计算机的犯罪对我们来说并不新鲜。病毒已经和我们在一起超过20年了; 间谍软件也已经超过十年的历史; 大规模使用网络钓鱼可以追溯到至少2003年。究其原因，世界信息安全研究人员一致认为，信息系统的发展速度在不断发展和扩大，但不幸的是员工的安全意识计划落后于这个发展速度，故而计算机犯罪有了生存的空间。说到底，在线服务的迅速普及与安全文化的相应接受并不匹配。

因此，近年来，信息安全意识成为信息安全管理的几项关键工作之一。信息安全意识旨在加强人类对信息和信息安全风险行为的理解、信念和看法，同时理解和加强组织安全文化，作为快速演变的威胁的应对之策。例如，经合组织、欧盟、日本、美国都出台了信息系统和网络安全意识相关指南，它们往往包括一些普遍接受的原则：意识、责任、响应、道德、风险评估、安全设计和实施、安全管理和重新评估等等。

说到国家层面的宣教手段，美国发起了国家网络安全意识月——戏称网络安全“十月革命”，其传统盟国英澳加新等自然纷纷效仿，不甘落后。欧盟网络与信息安全局是欧洲网络安全专业中心，通过在社会中发展和促进网络与信息安全文化来协助内部市场的正常运作，为欧盟内部的高水平网络和信息安全做出贡献。它们也将十月定为网络安全月。日本将触角伸向亚太地区，在东南亚找来一众拥趸，领头搞起亚洲方面的网络安全宣传活动。不过亚洲各国远不如欧洲国家团结，没有中印大国及韩国的支持，场面冷清，日本这个“头儿”外语不大好，网络安全宣传力量和辐射度有限，明然不够称职。印度受英国文化影响较深，信息服务经济又很依赖美国，所以该国的信息安全意识宣教活动起步较早，也很西化，不过信息化的贫富差距较大，总体情况不如发达国家乐观。

中国是网络大国，国家网络安全宣传周，以“共建网络安全，共享网络文明”为主题。将围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题，针对社会公众关注的热点问题，举办网络安全体验展等系列主题宣传活动，营造网络安全人人有责、人人参与的良好氛围。

回到组织机构层面，安全意识计划是组织可以采用的、以减少内部员工造成安全威胁的最佳解决方案。在安全责任方面，安全意识计划帮助员工了解信息安全不是其他某人的责任，相反却是所有人的责任和自己的责任。该计划还会明确强调，员工应对其网络身份所执行的所有活动负责。

即使组织尚未建立安全意识计划的标准方法，也应该了解到：良好的计划应包括对数据、网络、用户行为、社交媒体、移动设备和WiFi的使用、网络钓鱼电子邮件、社会工程和不同类型的病毒及恶意软件的认识。有效的员工安全意识计划应明确表明组织中的每个人都对IT安全负责。审计师应密切关注该计划涉及的六个领域：数据、网络、用户行为、社交媒体、移动设备和社会工程。许多组织有非常复杂的隐私保护政策，以至于很多员工总是无法理解这些法规。隐私政策是员工登录工作计算机时应该提醒的。隐私政策应更清晰、简短和标准化，以便更好地理解和实践。

组织可以为所有员工创建交互式活动，以便每周参加会议，讨论安全和威胁。交互式活动谈论的内容可能包括对新威胁、最佳实践、问题及答案的认识。

在执行力确保方面，如果组织不惩罚违规者，安全意识计划可能取不到好的效果。如果员工因违反计划，应向高级管理人员报告，以便采取进一步的惩戒行动，否则该计划将无效。信息安全部门可以比对行业模范进行差距分析，以找出该计划中的缺陷。

昆明亭长朗然科技有限公司是最早将信息安全意识引入国内的探索者和领航者，我们帮助各类型组织机构建立适当的信息安全意识宣教计划，以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。我们的信息安全意识宣教内容资源，及网络安全宣传周活动方案被多家大型机构所采用，欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：info@securemymind.com
• QQ：1767022898