俗话说“春种一粒粟，秋收万棵籽”，“一年之计在于春”，春天是忙碌耕耘的季节，对信息安全行业的从业人员们来讲也是如此。各类组织的安全管理团队纷纷开始制定新的一年的安全目标、战略和实施计划，希冀能积极面对各类不断演变的安全威胁、通过各类安全控管措施，降低组织所面临的安全风险，进而达到保障业务的安全持续运作的总体目标。

然而，想在年终大会上进行工作总结时好好展示一把信息安全部门对于组织业务成功的伟大贡献并不容易，来自各个业务部门的高阶管理层会关注到部门内外相关的严重的计算机信息安全事故、由于安全事件给业务正常运作带来的不利影响如停工时间、客户流失、商业信誉损失、机会损失等等。

虽然我们并不能完全杜绝安全事故在组织内的发生，甚至即便我们的安全团队进行了适当的安全应急响应措施，最大限度地挽回了潜在的损失，仍然不免会被高阶管理层误解，甚至受到批评和指责，问题的根源何在？即使不是高管们刻意刁难，能投入更多的钱，请最牛的高手，实施最为领先的安全系统，也还面临着安全与效率的平衡问题。

不要以为高管们不懂得安全，他们可能确实不会配置防火墙，甚至工作电脑中了毒也还要求助于IT帮助台，然而他们对于您制定安全的控管目标和战略会有很大帮助，想在信息安全方面制定出满足SMART标准的目标并不容易，特别是安全控制目标缺乏行之有效的衡量标准，所以没能进入到组织核心决策层的信息安全管理负责人员永远可能会低一头，因为业务高管可能会轻易给信息安全工作的成绩给出或好或差的判定。

再问一次，问题的根源何在？如果安全管理负责人不想让团队的后期努力付诸东流，一年下来却发现白忙活了一场，就应该现在反思一下。

对于绝大多数组织机构而言，安全不会是核心的商业竞争力，无论如何信息安全管理负责人难挤到核心层，或许您要辩解说核心层的高管才应该为安全负责，这就对了！那您有没有想，既然高管和业务部门要为安全负责，那要专门的信息安全团队和人员干嘛？

好！到这里，聪明的您应该明白问题根源所在了，就是安全不仅是信息部门的事情，安全需要高管以及各个业务部门成员的参与，实际上，保障信息安全是组织所有成员的职责，所以让所有员工都参与进来吧！

信息安全负责人及部门成员再不应该继续像无头苍蝇一样埋头于技术的安全控管系统，应该多与各业务部门沟通协调，帮助他们了解基本的安全理念，帮助他们找出组织层面和部门层面的重要信息资产，帮助他们认识到这些信息资产所面临的安全威胁，帮助他们并和他们一起讨论及制定安全风险控制措施……

有了高阶领导层和业务部门管理层的参与，员工们也更有了主人翁精神，这才是真正在做安全，这种安全是和业务紧密相关的，不管叫风险管理、业务安全、公司治理什么的，总之，信息安全团队的价值得到了更大的发挥，而不再是配置个网络安全系统，控制了员工的网络使用行为，又引起了员工的消极对抗等等这些较低的安全管理行为。

所以，在制定安全战略时，要考虑更多与业务部门管理层及全体用户的沟通和交流，要为此分配资源，要给出足够的安全预算，要制定全体员工的安全意识培训计划……

武汉大学计算机学院副教授、信息安全博士彭国军称：信息安全是三分技术，七分管理！相对于某些安全设备投入而言，加强员工的信息安全意识，使其能够及时感知安全威胁并合理规避风险，更有意义和效果！

有信息安全从业人员觉得安全沟通不容易，用户要么忙忙碌碌重视不过来安全，要么做贼心虚刻意躲避安全……实际上，通过安全意识培训来加强沟通和理解是最佳的途径，昆明亭长朗然科技有限公司在这方面积累了丰富的经验，帮助了众多客户成功地通过安全意识培训，进而建立起组织内的安全文化，增强了企业的凝聚力和竞争力，亭长朗然公司欢迎对这些有兴趣的客户来电来邮件进行咨询。

我们总结一下，制定信息安全管理的目标、战略和计划时，要考虑到信息安全是为了保障公司的业务持续，是为了保护组织的成功，所以，信息安全不单是安全部门的职责，更不能信赖单独的技术控管措施，加强同高管以及各业务部门的沟通协调，Involve他们到一条船上，也让所有员工参与进来，方可共建成功的安全体系，也方可共享信息安全建设的胜利果实。

昆明亭长朗然科技有限公司专注于信息安全意识培训素材资源的创作，我们也为各类型的客户提供安全意识咨询与技术服务，欢迎有兴趣和需要的客户及伙伴们联系我们，洽谈业务合作事宜。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

不闻不若闻之，闻之不若见之，见之不若知之，知之不若行之；学至于行之而止矣。——荀子

信息安全不是独立于业务目标的“学术孤岛”，谈到对组织成功的重要性，虽然信息安全不如加强产品研发和拓展新兴市场那么“经世致用”，但是也绝对不可或缺，在特殊的行业和关键的领域，甚至是决定成败的核心竞争力。

在这些特殊的行业和关键的领域里，信息安全不仅表现为业务成功的“保障”角色，更是取得持续胜利的“推进器”，甚至是创新战略的“使能者”。不过，每家公司都有自身独特的愿景、使命、目标和战略，公司治理成为保障成功的关键，信息安全的源头便源自于此。当然，信息安全在不同公司中的地位和价值可以从此窥见一斑，然而，担负公司治理重任的高管们可能并不是那么的“学究”，他们对信息安全与商业成功之间的必然关联和重要性认识可能并不足够，这就需要专业的信息安全专业人员来提供智囊支持。

尽管多数公司并没有明确的信息安全组织架构和信息安全总监职位，但是多少都有相关的团队和人员来担当必要的职责，只是有可能没有做那么清晰的部门设置和职位定义，这主要和高层领导的认知及意愿有关。

信息安全管理亦是采用至上而下的方法，如果公司高层领导对信息安全的认知不够，例如只认为信息安全是防范电脑病毒，让网络不受ARP攻击而罢工，那就很难指望公司的信息安全管理体系能够充分保障业务数据的安全。所以说，领导层首先要树立正确的信息安全观念，并且做好示范表率作用，这里面包含建立健全信息安全相关方针政策和工作流程，以及在公司范围内实施安全教育、培训和意识提升计划。

建立安全方针政策、规章制度和工作流程实际上并不像人们常讲的“拷贝些模板”的事儿，除非只是想做一些纸面的工作而不想让这些落到实处。设立安全方针政策和规章制度是为了确保员工们在工作中应用正确的信息安全理念，所以它们之间是紧密联系的。要结合工作实际情况制定规章制度和工作流程，就需要让中层领导仒和一线的员工充分参与，这当然少不了信息安全相关的沟通和协调工作。而要进行有效的信息安全沟通和协调，最重要的是进行信息安全意识相关的教育培训。

不仅仅诸如信息安全管理委员会之类的安全团队内部需要进行沟通和协调，与最终用户如全体员工及相关外来人员之间也需要沟通协调，就比如一个与访客接待相关的安全流程，就需要得到多方的理解和支持才能有效运作。

信息安全意识教育培训并非宣读一番相关的安全制度和流程，我们不仅需要让最终用户“理解”信息安全，更要让他们“认同”信息安全，要向最终用户展示正确的安全理念和行为，可以利用模拟的场景，可以分析实际的案例。

当最终用户充分“理解”了信息安全之后，便需要他们付诸实际行动来证明他们“认同”正确的信息安全理念，这就达到了我们的最终目标——获得最终用户的安全行为，通过适当的安全工作流程来保障信息安全方针政策的落实实施。

让最终用户“理解”信息安全不难，让最终用户“认同”信息安全不易，昆明亭长朗然科技有限公司的信息安全意识培训顾问Alice Wong说：想取得“知行合一”的良效，除了采用高质量的饱含模拟场景和真实案例的信息安全意识教程之外，也不能忽视安全行为激励机制。人性多是趋利避害的，Alice建议公司拿出少量信息安全资源当作激励员工们正确安全行为的“安全奖金”，同时对容易造成安全事故的不当行为进行适当处罚，并且不断地通过教育培训来刷新人们的安全认知。日积月累，信息安全意识便深入脑海，安全的行为便逐渐形成。