信息安全管理中最弱的环节是用户们的安全意识，而要提高用户们的安全防范意识可并不容易。毕竟“天下最难的事情是将别人口袋里的钱拿到自己口袋，以及将自己脑袋里的思想装进别人的脑袋里。”

难也要上， 我们要提升用户以及客户的安全意识，需要正确的方法。昆明亭长朗然科技有限公司的安全意识培训师Alice Wong称：环顾全球，欧美国家喜欢讨好用户，日韩港台倡导娱乐用户，而大陆内地最爱恐吓用户。唉，谁叫这一代人都是厦（吓）大的呢？

说笑完毕，言归正传，现在的世界交流强过于以往历史上的任何一个年代，信息安全意识教育管理方法也会随着经贸交流、文化交流、跨国公司人员流动和互联网资讯流动而不断演变。我们只需遵守全球范围内被广泛接受的安全意识方法，加之对自己企业环境和内部文化的理解，灵活应用即可。

接下来，让我们分享一些一家来自中国的全球性跨国公司在安全意识教育方面的做法，希望对信息安全管理和培训负责人有所帮助。

跨国公司有数万名员工，数个事业部，分布于不同国家不同站点，中国人员大本营分布于三个城市、欧洲及中东大本营分布于两个城市的三个站点、美洲大本营分布于两个站点、除中国外的亚太地区大本营也分布于两个国家的四个站点，此外还有数百个国家的小型分支机构。

向所有能够接触到信息资产的员工们推销信息安全方针政策，在全球分布架构下，大的站点都有兼职的信息安全讲师，专门通过现场课堂培训对新进员工进行安全意识教育，小站点往往缺乏对员工进行必要的培训，要么就近派到附近大站。

来自中国的这家公司的业务在不断扩张，我们不得不考虑全球一体化中的员工安全意识教育问题，好在英文是通用的沟通语言，我们决定使用创新的在线电子学习方案，这种方案大小站点都可使用，除了为中国大本营特别开发中文之外，其它海外站点全部使用英文。大型站点由原来的讲师担任协调员，小型站点由本站的管理秘书提供协调员，负责在本站员工的沟通协调和学习推进工作。

强制推广培训的遵循，在获得总裁的大力支持下，通过人力资源副总裁，利用全球员工目录，将学习考核情况尽数掌控。除了测试团队之外，顺利是先在高阶管理层推进在线学习，再到中层，直到基层经理主管们。在管理层全部通过之后，协调人员在面对基层员工进行推广时，可以轻松获得员工管理层的理解和支持，工作推进便容易多了。

在学习过程中，通过在线学习系统，安全管理团队、培训讲师、站点协调人员以及经理层很容易知晓部门人员的参训进度和考核通过情况。学员可以随时随地通过在线课程进行安全意识学习，在学习完成之后通过在线测试来检验学习情况。

一次大范围的针对全体员工的信息安全意识推广活动就在一个月内取得92%的通过率，第二个月底达到到最初设定的99%的目标。所有员工都在线签署了公司安全协议，同时也获得了大量的反馈，以用于衡量安全教育计划的有效性和支持后续不断的改进。

在信息安全意识和思想教育方面，我们并不停留于此，我们建立了内部安全沟通网站，增加了Web2.0互动功能，安全响应团队的及时解答让员工们能够获得及时的安全指导。

我们也定期提供新鲜教育素材配之安全通告，并通过邮件方式推动到全体员工，以不断刷新员工们的安全理念。同时，为了让建立一股能够反应业务需求和全球态势的安全正气，我们在网上举办了一些安全文化交流活动，鼓励领导层和员工们结合具体工作实际来谈信息安全。

我们不但不恐吓用户，对犯错用户采取教育为主的措施，让他们抽出时间再次参加学习和通过考试，同时也要求他们做出一些反省——书写心得报告并参与下一次的安全检查工作。此外，我们还设立了全球信息安全奖励基金，用于表彰信息安全领域的杰出贡献者和公司信息安全文化的积极倡导者和实践者。虽然我们的预算有限，但是这活动显然激励了员工们对信息安全工作的热情。

鉴于时间和水平的限制，分享暂时就到这里。昆明亭长朗然科技有限公司也制作了一部给信息安全培训者的在线教程，不用注册可以免费聆听。欢迎有兴趣的读者联系我们获取预览链接。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

2013年夏秋，斯诺登无疑是网络安全界的红人，这位前美国中央情报局雇员，美国国家安全局技术承包人，于2013年6月在香港将美国国家安全局关于棱镜计划监听项目的秘密文档披露给了英国《卫报》和美国《华盛顿邮报》。随后，斯诺登遭到美国政府及英国政府的通缉。

斯诺登生于1983年6月21日，是一名典型的“80后”，并且是一名佛教徒，他约有$200,000美元的年薪，与女友在在夏威夷一起过着舒适的生活。按照常规，他虽从“体制内”离开，但也算是有成就的人士，为什么会被雇主博思艾伦咨询公司在6月10日以“违反公司道德和企业政策”为由解雇呢？通常来讲，雇佣双方如果对薪金报酬或员工休病假而不满，不至于上升到公司道德和企业政策层面，因为这样显然对员工不公——无疑会让员工日后较难在行业中混下去，而公司也会落下个不好的名声。显然，这时候甚至在此之前，博思艾伦咨询公司已经很清楚斯诺登存在问题，否则也不会轻易批准他以“癫痫”病为由而暂时离职。

斯诺登解释了自己披露这些文档的理由，说自己“愿意牺牲掉这一切（工作、收入、女友）（把真相告诉世人），因为美国政府利用他们正在秘密建造的这一庞大的监视机器摧毁隐私、互联网自由、和世界各地人民的基本自由的行为让他良心不安”。这听起来让人们觉得他是一名正义的热血青年，可事发后被公众知晓之后，斯诺登的雇主博思·艾伦·汉密尔顿却谴责他的行为是“令人吃惊的”和“对我们公司的行为准则与核心价值的严重违犯”。人们可能会觉得，博思艾伦咨询公司在立场上会维护大客户美国政府，从言语措辞上看，其对前雇员的态度明显严厉了很多。

这么说来，我们可以确定的是博思艾伦咨询公司在帮助美国政府监控互联网，但却没有监控好自己的员工。而斯诺登显然也很不认同博思艾伦咨询公司的行为准则与核心价值观，这雇佣双方似乎本身不应该在一起的，不是么？那我们应该得到什么启示呢？昆明亭长朗然科技有限公司企业安全分析员James Dong称：有人可能认为博思艾伦咨询公司不应该聘用斯诺登，可是斯诺登明显是一名“潜伏”者，谁知道后来他“变异”了呢？所以问题的源头并非在员工招聘层面，美国公司在招聘职员时，多有严格的背景审查，和安全相关的岗位更是如此。

我们需要肯定斯诺登本性是好的，然而这么一位“性本善”的员工却做出这种“令人吃惊的”事情来，让人力资源及信息安全管理人员不免瞠目。我们再分析一下斯诺登的那句话，他认为“美国政府的行为让他良心不安”。既然如此认为，您应该早日退出，不和他们继续玩儿了，为何还要说服20来名员工索取他们的帐户和密码来获取更多涉及机密的信息呢？所以，我们认为，斯诺登不但不认为美国政府的行为不当，他自己则有更强的越权监控欲望，这与他声称的“对隐私的价值怀有强烈的热情”恰恰相反。从信息安全管理角度来看，疏于对员工们进行帐户和权限的管理才是这起轰动全球的信息安全事件的根本起源。NSA亡羊补牢，对向斯诺登分享帐户权限的职员们进行了必要的惩戒，“秋后算账”让员工们明白了保护帐户和密码安全的重要性，但却无法挽回斯诺登棱镜事件造成不良影响。所以，加强用户的信息安全意识教育，让员工们了解到分享帐户权限是不正确的信息安全行为，才是保护信息安全的重要防范举措。而建立适当的敏感信息访问审计流程以及帐户及登录行为审计，及时发现并报告和处理异常情况，也是必不可少的安全运营管理工作。

当一个小职员掌握了大量涉密信息的时候，他有两个选择，一、默默地独自欣赏；二、充分地利用它们。斯诺登聪明地选择了后者，这无疑会让他的人生更加精彩。不过，试想，如果当斯诺登向第一名同事索取帐户和密码的时候，他的可疑行为便被通报给了信息安全管理人员，还会有后来的故事么？所以，我们不仅得教育员工们不分享自己的密码，也需要他们会识别可疑的信息安全事件，并且能够和愿意立即向信息安全管理部门和人员报告。

职场80后，90后日渐多起来，年轻人们的思想观念更加自由开放，如何让新一代职场人士更加遵守公司的行为准则和核心价值观呢？从公司培训角度讲，员工培训很重要，从信息安全角度讲，信息安全意识培训是保障职场新人们的行为合乎规范，进而确保业务安全和公司信誉的关键。我们制作了多部的信息安全事件报告培训视频和课件，以期能够帮助员工信息安全管理人员。

当然，我们有数百部安全、保密及合规课程模块和三百余部动画视频，如果您有兴趣，欢迎联系我们洽谈业务合作。

昆明亭长朗然科技有限公司

电话：0871-67122372

手机：18206751343

微信：18206751343

邮箱：[email protected]

QQ：1767022898