信息安全不仅仅是安装防火墙设备和防病毒软件那么单纯，有国际通用的信息安全管理体系标准可以参考，而在大量信息安全控管目标和流程之中，信息安全意识越来越受到重视。

不过尽管针对全员的安全意识教育越来越被安全管理团队视为解决最终用户端安全问题的重要法宝，然而一提到信息安全意识，人们第一反应可能就是在培训教室里上课，学习那些枯燥的可能和自己毫不相关的PPT。

有道行极高的安全意识培训讲师可能在活跃课堂气氛的同时，也给学员们灌输一些信息安全相关的基础知识、规章制度和工作流程。大多数讲师都会很负责地在课堂教学中把安全的基础知识详细讲解给学员听，包括安全相关的策略、流程以及些许安全基础技术和安全工具。这种传统的安全意识教育方法很朴实，被各类组织机构广泛地使用着。

课堂教学有它的优势便是面对面沟通，更为人性化，也有较强的互动性和高效率。不过，课堂式培训也有它的弱项，便是不够灵活机动，受制于时间和空间的限制。通常不会随时开办安全培训课程，而是每周或每月在固定的课堂教室召开一次，此外，课堂教学还需要合格的讲师、教材等等系列资源。

课堂式安全培训的高效以高昂的成本花费为代价，因为公司不得不投入适当的人力和时间在安全培训之上，通常一名讲师可以与少于20名学员进行有效的学习互动，而每次这些互动的重复都以同样的花费为代价。过多的学员可能会令教学质量打折扣，而安全讲师在进行多次重复性例行培训后可能会由于疲惫松懈而让效果下降。

通过课堂教学方式来进行安全更适合信息化程度不够高的公司，这类公司的信息安全体系建设也处于初级水平，员工们在日常工作中可能较少甚至不会操作计算机。比如对传统的生产线员工进行的安全生产培训，使用这种方式比较有效，因为可以直接拉员工到生产现场，现身模拟实践操作。

对于高危岗位的员工们来说，课堂式安全教学培训正合其意。昆明亭长朗然科技有限公司的安全培训顾问James Dong说：对于大量会电脑操作的办公室人员来讲，课堂式教学显然不够灵活机动。那么，适宜办公室员工们的信息安全学习方式是什么呢？当然是基于电脑的培训或电子教学方式，因为办公室员工们多数会操作电脑，并且可能期望有更灵活的学习时间。

对于有异地分支机构的公司来讲，基于电脑的培训或电子教学方式特别适合会操作电脑的员工，好处不仅是给员工们自由学习的时间，更不受空间限制，还可节省不少的差旅费用开支。

在信息安全意识培训中使用电子学习e-Learning是必然的趋势，因为对于大型的公司来讲，使用基于电脑的安全意识培训会使得学习成本相对低廉，并且能够非常快速地在大范围内实施培训，易操作，及时通过在线信息安全学习系统进行相关知识和技能的测试，可以快速衡量学习成效并为改进绩效提供支援。

如果说e-Learning可以让会电脑操作的员工自由自在学习安全知识和提升安全技能，那信息安全海报、宣传彩页、邮件、壁纸、屏保程序和员工手册等等都是一些辅助的安全意识教育手段了，毕竟它们没有e-Learning方式那么高效，特别是对于会操作电脑而且日常工作需要用到电脑的用户，纸质的宣传文档可能并不受到青睐。

在众多信息安全意识教育手段之后，我们要特别提及新员工培训和年度安全意识更新，员工入职培训的内容往往很多，安全培训只是其中的一小块儿，尽管入职培训异常重要，而且多数采用课堂教学方式，效果自然非常显著，但是安全意识与行为密切相关，安全培训的目标是希望员工们将正确的安全理念应用到实际的工作之中。显然新员工入职培训中，安全意识不可能替代业务流程相关的培训而成为学员的核心学习内容，此外海量的信息让学员难以在短短几天培训活动中完全吸收，再加之日后会慢慢遗忘，所以我们建议新员工培训使用课堂教学与线上学习两种方式相结合。

而也正是因为人们容易遗忘一些安全知识，并且安全课程内容也会根据公司的安全环境及安全威胁的演变而不断改进，自然而然地会要求定期对老员工们进行信息安全意识的刷新。安全意识刷新的频率可能是一年或半年，也可能是一季度或一月，通常针对全员大型安全意识刷新可以一年进行一次，内容也很全面，尽可能包含信息安全相关的方方面面。而每月或每季度的安全刷新可以选择特定的部门群体或特定的安全主题而进行。

总的来说，信息安全意识教育手段很多，甚至可以使用安全意识视频、安全意识挑战赛和安全互动游戏等等，实际上这些都可以整合起来，用于课堂教学和线上电子学习e-Learning课程之中。

专门针对全体员工进行的正式安全意识培训并不多见，但是多数组织机构都会对新员工进行或多或少的入职安全意识培训，这份工作或由IT部门，或由安全部门，或由培训部门进行，信息安全往往是几天的新员工培训中的一小部分。昆明亭长朗然科技有限公司的安全培训专员Alice Wong说：别指望通过对新员工进行的几个小时的安全意识培训，就能让员工们能记住那些安全策略和规定，并付诸于日后的工作实践之中。

人为的因素仍然是安全事故的主要原因，而这里面，大部分都是一些无知或大意的行为，通过特定的安全技术措施，可以起到一部分的帮助作用，然而，更需要强化对员工们进行安全教育，以便他们能够在实际工作中制定正确的安全决策和防范不必要的安全失误。

显然，安全意识是一种认知一种理念，某些记忆会随着时间的推移而弱化，同时，新的安全威胁却不断出现，所以针对职场新兵们的一次简单安全意识培训并不足够，系统化而有持续性的安全意识计划必不可少。

如果您是信息安全的负责人，或者信息安全是您的工作的一部分，您都应该关心安全培训，多数的IT人并不是很清楚信息安全的核心理念，更何况普通的用户呢？简单的问问您自己：您最近与组织或部门成员沟通信息安全问题是什么时候的事情？您觉得受众对这些安全理念的理解和接受程度如何？

如果您不能立即给出上述问题明确的答案，您需要考虑一下了。亭长朗然公司Alice说：信息安全管理人员往往会有一个认识误区，便是将几十页的员工安全手册发放给员工们进行阅读，以期望他们能够消化。显然，员工安全手册使用的是IT安全相关的专业语言，是给法务、监察或审计人员来看的，根本不适合多数最终用户来阅读和消化。

在员工无意中犯下严重的安全错误之后，不能简单地说：你没有遵循安全相关的规定，都是你的错，你签了字，你就要为你的行为负责。多数员工可能根本没有仔细阅读那些严谨而枯燥的安全手册，或者没能读明白，或者读了之后忘掉了……就像人们面临多数互联网服务或软件的使用协议，不管三七二十一，就点击“同意”一样。

不过，在法律合约层面，又需要员工签署对相关安全政策和标准的遵守承诺，所以说员工安全手册，尤其是员工在信息安全方面的职责需要特别地与员工进行沟通。大型组织的客服人员在与用户进行合约的沟通时，会特别划出重要的可能引起争议的部分，这一方法也很值得信息安全管理人员来借鉴。但是在期望员工们有何种安全行为方面，还是需要更为生动的在线视频或互动式培训课程来进行，因为这些教育方式和渠道更受员工们的欢迎，也更有效。

安全意识培训，勿忘示范和激励的作用，安全是一种保障，也是一种与效率的平衡，安全方面的限制过多不行，在限制多少这个度上面扯皮更是不值得，我们在对待安全的态度上需要正能量。信息安全管理人员不能只要求员工们遵守安全纪律，自己却搞特权，显然说一套做一套只会引起员工们的不屑，甚至引发“只许州官放火，不许百姓点灯”的不满和抗议。

管理层从自身做起，时刻注意自己和团队的安全理念和行为，能起到积极正面的示范作用，但是这还不够，组织范围内的信息安全是一个大环境，每个成员都在或正面或负面地影响着这个大环境。要激发组织内员工们的正能量，从激励入手是最重要的。通过安全意识培训，传递明确的安全期望，特别是在对待组织内部的一些安全隐患或弱点方面，对于有安全敏感度，并且能够及时报告隐患或事故的员工们，给予精神上的肯定和物质上的表彰。

特别要不断强化的是关于违反安全规定的后果，如果一味强调对违规事实的处罚，而不考虑客观情况和主观愿望，可能会引起掩盖安全事故的行为，这显然会带来更大的损失。要教育员工安全问题可能会客观存在，特别是意外的或不小心造成的，无论如何在有怀疑或发现之时都要及时报告，以降低进一步的损失。而对于故意忽略安全措施或隐瞒安全事故的，则应强调和实施严厉的处罚。

综合来讲，安全意识培训是整体安全管理的一部分，安全意识培训需要持续不断地进行，更需要使用群众能懂的语言、易于被接受和应用于实际工作环境。不可否认的是安全意识培训可以强化安全管理，降低安全事故发生的概率。