近几年各类型组织机构在信息安全管理上多少都有些作为，这是不能否认的事实，其中包括部署和实施各类安全控管措施如最基础的防火墙系统和补丁修复管理流程等等。然而也不能否认的是：这些安全控管措施的受影响者、使用者和管控者都是员工，只有员工们对安全控管措施的认知要达到了一定的水平，方能理解和接受信息安全控管措施的目标、战略和方法，进而使其日常的安全行为选择与业务目标和战略保持一致。

新员工的加入或者老员工的流失都可能增加信息安全风险，无疑也会给传统的以技术为主的安全控管措施带来新的挑战。不断增长的网络钓鱼诈骗、社交工程攻击，加之移动互联网与社交网络向企业应用的日益渗透，让安全管理层开始思考和强化员工层面的安全意识教育。

CNNIC发布的最新一期《中国互联网络发展状况统计报告》显示：手机上网的比例保持较快增速，网民多在家中上网，提供公共上网设施的场所使用率逐年下降。而中小企业中，使用计算机办公的比例为91.3%，使用互联网办公的比例为78.5%。这无疑在提醒各类组织的安全管理负责人员——信息化的成功已经越来越和终端用户的安全使用密切相关。

特别是在新员工方面，公司需要使用更加全面和完整的战略方法，来向员工们沟通安全策略、标准和工作流程，来教育培训员工们遵守关键的信息安全规章制度。昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说：传统的基于邮件的安全通报或纸质的印刷品显然缺乏足够的互动，而且容易被员工们忽略，更难以衡量其有效性。

摆在我们面前的关键问题是：有多少员工真正了解公司的安全政策呢？他们知晓哪些是信息安全策略允许的，哪些是信息安全策略禁止的，以及安全策略为什么这样要求吗？

亭长朗然公司的Alice称：多数的安全事故的起因都和内部员工的安全意识薄弱密切相关，如果员工们正确对待信息安全策略，并且持续执行必要的安全流程，多数的信息安全事故可以得到避免。

传统的邮件通报和纸质文档对于改进员工安全意识的效果不够理想，课堂式安全培训又比较耗费时间和人力，而在信息时代，通过电子学习方式来进行信息安全意识教育无疑是更有效的，也更经济实惠和方便管理的。

安全意识电子学习可以提供员工学习进度的良好监控，也容易及时通过测试来衡量员工的学习效果，更能向审计和监察机构证明安全意识培训工作得到了必要的开展。

此外，调查表明，除了新员工容易违反公司的信息安全方针政策之外，老员工也容易疏忽大意导致安全事故的发生并且给公司带来更大的伤害，所以针对老员工的安全意识刷新也是很有必要的。

亭长朗然公司提供标准的信息安全意识在线学习课程以及在线学习平台的搭建服务，也提供量身定制的安全意识培训课件开发制作服务，可以让客户以最小的投资获得最大的安全回报。

勿让新员工成为信息安全短板，需从新员工安全意识教育培训抓起。

专门针对全体员工进行的正式安全意识培训并不多见，但是多数组织机构都会对新员工进行或多或少的入职安全意识培训，这份工作或由IT部门，或由安全部门，或由培训部门进行，信息安全往往是几天的新员工培训中的一小部分。昆明亭长朗然科技有限公司的安全培训专员Alice Wong说：别指望通过对新员工进行的几个小时的安全意识培训，就能让员工们能记住那些安全策略和规定，并付诸于日后的工作实践之中。

人为的因素仍然是安全事故的主要原因，而这里面，大部分都是一些无知或大意的行为，通过特定的安全技术措施，可以起到一部分的帮助作用，然而，更需要强化对员工们进行安全教育，以便他们能够在实际工作中制定正确的安全决策和防范不必要的安全失误。

显然，安全意识是一种认知一种理念，某些记忆会随着时间的推移而弱化，同时，新的安全威胁却不断出现，所以针对职场新兵们的一次简单安全意识培训并不足够，系统化而有持续性的安全意识计划必不可少。

如果您是信息安全的负责人，或者信息安全是您的工作的一部分，您都应该关心安全培训，多数的IT人并不是很清楚信息安全的核心理念，更何况普通的用户呢？简单的问问您自己：您最近与组织或部门成员沟通信息安全问题是什么时候的事情？您觉得受众对这些安全理念的理解和接受程度如何？

如果您不能立即给出上述问题明确的答案，您需要考虑一下了。亭长朗然公司Alice说：信息安全管理人员往往会有一个认识误区，便是将几十页的员工安全手册发放给员工们进行阅读，以期望他们能够消化。显然，员工安全手册使用的是IT安全相关的专业语言，是给法务、监察或审计人员来看的，根本不适合多数最终用户来阅读和消化。

在员工无意中犯下严重的安全错误之后，不能简单地说：你没有遵循安全相关的规定，都是你的错，你签了字，你就要为你的行为负责。多数员工可能根本没有仔细阅读那些严谨而枯燥的安全手册，或者没能读明白，或者读了之后忘掉了……就像人们面临多数互联网服务或软件的使用协议，不管三七二十一，就点击“同意”一样。

不过，在法律合约层面，又需要员工签署对相关安全政策和标准的遵守承诺，所以说员工安全手册，尤其是员工在信息安全方面的职责需要特别地与员工进行沟通。大型组织的客服人员在与用户进行合约的沟通时，会特别划出重要的可能引起争议的部分，这一方法也很值得信息安全管理人员来借鉴。但是在期望员工们有何种安全行为方面，还是需要更为生动的在线视频或互动式培训课程来进行，因为这些教育方式和渠道更受员工们的欢迎，也更有效。

安全意识培训，勿忘示范和激励的作用，安全是一种保障，也是一种与效率的平衡，安全方面的限制过多不行，在限制多少这个度上面扯皮更是不值得，我们在对待安全的态度上需要正能量。信息安全管理人员不能只要求员工们遵守安全纪律，自己却搞特权，显然说一套做一套只会引起员工们的不屑，甚至引发“只许州官放火，不许百姓点灯”的不满和抗议。

管理层从自身做起，时刻注意自己和团队的安全理念和行为，能起到积极正面的示范作用，但是这还不够，组织范围内的信息安全是一个大环境，每个成员都在或正面或负面地影响着这个大环境。要激发组织内员工们的正能量，从激励入手是最重要的。通过安全意识培训，传递明确的安全期望，特别是在对待组织内部的一些安全隐患或弱点方面，对于有安全敏感度，并且能够及时报告隐患或事故的员工们，给予精神上的肯定和物质上的表彰。

特别要不断强化的是关于违反安全规定的后果，如果一味强调对违规事实的处罚，而不考虑客观情况和主观愿望，可能会引起掩盖安全事故的行为，这显然会带来更大的损失。要教育员工安全问题可能会客观存在，特别是意外的或不小心造成的，无论如何在有怀疑或发现之时都要及时报告，以降低进一步的损失。而对于故意忽略安全措施或隐瞒安全事故的，则应强调和实施严厉的处罚。

综合来讲，安全意识培训是整体安全管理的一部分，安全意识培训需要持续不断地进行，更需要使用群众能懂的语言、易于被接受和应用于实际工作环境。不可否认的是安全意识培训可以强化安全管理，降低安全事故发生的概率。