有不少人问我：信息安全意识都教授些什么内容，文档保密和使用粉碎机之类的没有技术含量的东东么？也有人找我帮忙提升员工们的电脑安全意识：多数计算机信息安全事故的起因可以追溯到最终用户的电脑，可是如何让人们安全地使用个人电脑呢？

我们不想大谈信息安全意识教育的重要性，尤其是当昔日重要的安全防范工具杀毒软件都大量免费提供的时候。也有人会讲，信息安全意识，不就是让员工们认识到信息安全的重要性、了解到安全威胁无处不在，随时随地要注意保护信息安全么？

的确如此，正是人们时常“意识”不到信息安全，所以才需提升信息安全意识，如果人们个个都是黑客级的安全专家，那还提升什么安全意识，去研究渗透攻击技术得了。

所以，信息安全意识教育的第一项课题往往是比较通用的安全理念，比如安全的定义、术语、方针政策等等。不过，多数学员可能并不喜欢这些枯燥的学究气很浓厚的安全理论，但是理论指导实践，我们的正确方法是尽可能将理论说教内容提炼和压缩，并辅助于工作和生活之中的实例，以便更加生动和易于理解。

其次，我们的信息安全意识教育课题是什么呢？这当然要源自安全意识培训的需求，这些培训需求当然也是根据业务信息安全的目标和安全现状而定，通常可以通过信息安全评估和检查来了解网络信息安全管理的弱点，进而分析哪些可以通过加强安全意识教育来改善。如果公司想构建全面的信息安全管理体系，则需要进行全面的基于通用信息安全标准ISO 27001的安全意识教育。如果是上市公司，要满足监管的要求，则需根据相关法律法规找出需要对员工进行培训的安全议题。如果是金融机构或在线电子商务，则需要考虑到更多，甚至需要为不同的部门和岗位设置不同的安全意识培训课题。

一些通用的信息安全意识培训课题都有哪些呢？除了第一项信息安全基础理论之外，则是和员工们日常工作密切相关的，比如桌面安全、互联网安全、差旅安全、社交工程攻击防范、敏感数据删除、办公环境安全、打印传真扫描复印、会议室电话视频、密码安全及安全事件报告等等。

员工们要使用信息设备来完成工作任务，就需要了解如何才能安全地操作信息设备，这些信息设备包含诸如个人电脑、移动终端如智能手机、移动媒介如U盘等等。这里面还可以派生出密码安全、桌面安全、防病毒、安全更新等等议题。

除了了解如何安全地操控信息设备之外，员工们还需要认识到如何保护识别和敏感信息，即保障信息数据流的安全，这可以围绕整个信息数据的生命周期来定义和划分安全意识教育课题，比如数据的所有者定义、数据安全等级划分、访问控制措施如密码和权限保护、加密传输和存储、信息发布安全、数据彻底删除等，进而派生出打印传真白板视频会议安全、防偷看防窃听、社交网络信息保密、商业间谍和社交诈骗防范、机密文档回收等等。

而和互联网关联的也有大批安全课题，比如互联网安全、邮件安全、即时通讯安全、社交网络安全、网络钓鱼、病毒防范、软件下载、版权保护、文件外发等等。由于和网络相关，这里可能还会派生出远程访问、浏览器安全、内网安全、无线网络安全、甚至线上存储和协同工作相关安全课题。

对于差旅和远程办公人士，可能需要附加差旅安全、酒店安全、公共场所安全、信息资产保护、移动存储介质保护、远程接入、无线及蓝牙安全等等。

我们总结看一下上述的安全意识课题，可能有些相互交叉或重复，对此，昆明亭长朗然科技有限公司安全意识教育顾问James Dong称：这些都是难免的，只需在组织安全培训课程之时灵活安排各课题的前后顺序，不要执着于某个安全意识主题的范围定义和边界，灵活组合，尽可能让安全议题涵盖的更加全面，这便是一条很重要的方法。

其次要分享的是安全意识教育可以随着安全策略文档、员工安全手册的和更新和发布而进行，也需要对新入职员工进行全面的安全意识培训。

最后，实施的方法可以是强制性的课堂教学，也可以是基于电脑的电子学习课程，必不可少的是一些安全意识相关的测试，有了测试便有了学习的压力和动力，也更容易衡量安全意识教育活动的有效性，和帮助后期不断进行改进。

如果您想预览我们的信息安全意识教育作品，或者对这个课题有兴趣，欢迎通过如下方式联系我们，洽谈业务合作。

• 电话：0871-67122372
• 微信：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

专门针对全体员工进行的正式安全意识培训并不多见，但是多数组织机构都会对新员工进行或多或少的入职安全意识培训，这份工作或由IT部门，或由安全部门，或由培训部门进行，信息安全往往是几天的新员工培训中的一小部分。昆明亭长朗然科技有限公司的安全培训专员Alice Wong说：别指望通过对新员工进行的几个小时的安全意识培训，就能让员工们能记住那些安全策略和规定，并付诸于日后的工作实践之中。

人为的因素仍然是安全事故的主要原因，而这里面，大部分都是一些无知或大意的行为，通过特定的安全技术措施，可以起到一部分的帮助作用，然而，更需要强化对员工们进行安全教育，以便他们能够在实际工作中制定正确的安全决策和防范不必要的安全失误。

显然，安全意识是一种认知一种理念，某些记忆会随着时间的推移而弱化，同时，新的安全威胁却不断出现，所以针对职场新兵们的一次简单安全意识培训并不足够，系统化而有持续性的安全意识计划必不可少。

如果您是信息安全的负责人，或者信息安全是您的工作的一部分，您都应该关心安全培训，多数的IT人并不是很清楚信息安全的核心理念，更何况普通的用户呢？简单的问问您自己：您最近与组织或部门成员沟通信息安全问题是什么时候的事情？您觉得受众对这些安全理念的理解和接受程度如何？

如果您不能立即给出上述问题明确的答案，您需要考虑一下了。亭长朗然公司Alice说：信息安全管理人员往往会有一个认识误区，便是将几十页的员工安全手册发放给员工们进行阅读，以期望他们能够消化。显然，员工安全手册使用的是IT安全相关的专业语言，是给法务、监察或审计人员来看的，根本不适合多数最终用户来阅读和消化。

在员工无意中犯下严重的安全错误之后，不能简单地说：你没有遵循安全相关的规定，都是你的错，你签了字，你就要为你的行为负责。多数员工可能根本没有仔细阅读那些严谨而枯燥的安全手册，或者没能读明白，或者读了之后忘掉了……就像人们面临多数互联网服务或软件的使用协议，不管三七二十一，就点击“同意”一样。

不过，在法律合约层面，又需要员工签署对相关安全政策和标准的遵守承诺，所以说员工安全手册，尤其是员工在信息安全方面的职责需要特别地与员工进行沟通。大型组织的客服人员在与用户进行合约的沟通时，会特别划出重要的可能引起争议的部分，这一方法也很值得信息安全管理人员来借鉴。但是在期望员工们有何种安全行为方面，还是需要更为生动的在线视频或互动式培训课程来进行，因为这些教育方式和渠道更受员工们的欢迎，也更有效。

安全意识培训，勿忘示范和激励的作用，安全是一种保障，也是一种与效率的平衡，安全方面的限制过多不行，在限制多少这个度上面扯皮更是不值得，我们在对待安全的态度上需要正能量。信息安全管理人员不能只要求员工们遵守安全纪律，自己却搞特权，显然说一套做一套只会引起员工们的不屑，甚至引发“只许州官放火，不许百姓点灯”的不满和抗议。

管理层从自身做起，时刻注意自己和团队的安全理念和行为，能起到积极正面的示范作用，但是这还不够，组织范围内的信息安全是一个大环境，每个成员都在或正面或负面地影响着这个大环境。要激发组织内员工们的正能量，从激励入手是最重要的。通过安全意识培训，传递明确的安全期望，特别是在对待组织内部的一些安全隐患或弱点方面，对于有安全敏感度，并且能够及时报告隐患或事故的员工们，给予精神上的肯定和物质上的表彰。

特别要不断强化的是关于违反安全规定的后果，如果一味强调对违规事实的处罚，而不考虑客观情况和主观愿望，可能会引起掩盖安全事故的行为，这显然会带来更大的损失。要教育员工安全问题可能会客观存在，特别是意外的或不小心造成的，无论如何在有怀疑或发现之时都要及时报告，以降低进一步的损失。而对于故意忽略安全措施或隐瞒安全事故的，则应强调和实施严厉的处罚。

综合来讲，安全意识培训是整体安全管理的一部分，安全意识培训需要持续不断地进行，更需要使用群众能懂的语言、易于被接受和应用于实际工作环境。不可否认的是安全意识培训可以强化安全管理，降低安全事故发生的概率。