处在庞大的互联网络系统中，如果不实施有效而可靠的信息安全意识培训计划，任何组织都将无法保护信息的机密性、完整性和可用性。

超过半数的网络安全事件是由于人为错误而造成的，每年由于员工人为因素而带来的灾难导致企业遭受的损失达数亿元。对此，昆明亭长朗然科技有限公司网络安全培训专员董志军说：这不是危言耸听，看看那些诈骗窝点那些年轻人们的豪华生活，就知道情况是多么的严重。需知，科技再进步也只能是工具，人类永远是社会的主体，人工智能再厉害也不能完全理解和替代人们对世界的认知和人与人之间的微妙感情。正是因为这个原因，再先进的安全防范技术也不能彻底防御针对人性的攻击。举例来讲，不知情或粗心大意的工作人员可能会回应网络钓鱼电子邮件的要求，访问感染了恶意软件程序的网页或将其机密信息存储在不安全的存储位置，从而损害网络安全。

为了避免与人员相关的事件的发生，组织必须实施切实可行的信息安全意识培训计划。通常来讲，标准的安全意识计划应包含以下几条主题内容。

一、安全的互联网习惯

几乎所有职员，特别是技术性职工，都可以访问互联网。因此，对公司而言，安全使用互联网至关重要。信息安全意识培训计划应包含安全的互联网浏览习惯，以防止攻击者侵入公司内部网络。以下我们分享一些为员工安全使用互联网的注意事项：

用户们必须了解常见的网络钓鱼攻击，并学会不要打开恶意附件或单击可疑链接。这些能力需要通过深入地了解网络钓鱼攻击的警告信号来实现。最好禁止使用浏览器的弹出窗口，因为它们通常会带来安全风险。用户们应避免安装未知来源的软件程序，特别是感染了恶意软件的网站链接。如今，很多网站声称提供免费的互联网安全程序，实际上这些程序只会感染您的系统而不是对其进行安全保护。

二、数据安全保护

信息数据的类型有很多，例如客户合同、成功案例、产品特性、营销方案、开发计划或工作任务说明等等，许多员工可能不知道这一点。这些员工没有意识到对信息数据进行安全分类的重要性。例如，从财务角度来看，客户合同比成功案例更为重要。从营销角度看，营销方案要比产品特性更为重要。

员工们应了解所有类型的数据，以便他们了解其业务重要性。哪些数据属于高机密级别的，哪些属于内部的，哪些属于可公开的，如何保护这些不同安全级别的信息数据？哪些数据可以或不可以通过哪些渠道进行分享？了解这些数据安全保护的要求，是保障信息安全，防止数据泄露的基础性工作。

三、清洁办公桌政策

信息窃贼可以很容易地获得办公桌上的敏感信息，例如便签、纸张和打印出的文件，当然也还可以通过贼眼轻松偷看到敏感信息。根据清洁办公桌政策的要求，在结束每天的工作之时，应将所有敏感和机密信息从办公桌上移开。在午餐时间或在办公时间紧急离开时，所有关键信息都应锁在办公桌抽屉中或柜子里。

员工们需要理解清洁办公桌政策的要求，并养成良好的桌面清理习惯。除了纸类文件之外，当然也包括重要的信息物件，比如U盘、钱包、手机等。此外，计算机桌面的安全也属于清洁办公桌的一部分，设置带密码保护的屏幕保护程序，在离开办公桌时锁住屏幕。对于清洁办公桌政策，董志军补充说：要保证政策的落地，强化执行力，需定期不定期地进行办公桌安全检查，比如在工作期间、午餐时间或下班时间对员工们的办公桌进行巡检，以发现可能的问题并对进行必要的整改督促和再教育。

四、恶意软件防范

有关恶意软件的培训课程是非常经典的，但是总有新型的恶意软件不断出现和泛滥，这说明仍然有很多人不了解恶意软件的类型及其含义。恶意软件类型应包括广告软件、间谍软件、病毒、特洛伊木马、后门程序、勒索软件、僵尸网络、逻辑炸弹和蠕虫等等。

员工们应学习如何识别恶意软件、如何防范恶意软件并养成好习惯，以及如果设备或网络已被感染了该怎么应对。正确的响应应该是立即关闭系统或设备并通知信息安全响应团队。

五、安全使用社交网络

企业使用社交网络作为强大的工具来宣传品牌并产生在线销售。不幸的是，社交网络也为网络钓鱼攻击打开了闸门，网络钓鱼攻击可能导致公司遭受巨大灾难。不当的社交软件使用造成机密泄露的事件比比皆是。

为了防止关键数据通过社交媒体丢失，企业必须具有可行的社交网络安全使用政策，应限制社交网络的使用并指导员工注意网络钓鱼攻击的威胁和信息泄露的风险。通常来讲，对大多数员工来说，除了转发公司的公开宣传内容之外，不宜使用如微信、微博等社交媒体交流工作相关话题。

总之，员工在保障业务成功中扮演着至关重要的信息安全作用。未经培训和疏忽的员工可能使企业面临多重数据泄露的危险。因此，组织必须采用可行的信息安全意识培训计划，其中应包含阻止网络安全事件发生所需的基本准则。上述的几项常规安全意识培训主题都是昆明亭长朗然科技有限公司的大量客户在信息安全管理实践中探索出来的，希望这些宝贵经验能够帮上您和您所在的工作单位。

昆明亭长朗然科技有限公司专注于帮助各类型组织机构提升员工们的信息安全意识，我们帮助客户策划和制定安全意识培训计划，并提供各种安全意识课程内容资源，以及安全宣教教育活动的支持。欢迎有兴趣和有需要的客户，以及合作伙伴联系我们，洽谈业务合作。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

关注网络攻击趋势的人们大都了解，近年来，钓鱼攻击、网络勒索、金融欺诈等类型的攻击不断上升，而传统的技术性入侵反倒处于下降的趋势。这说明黑客们的节操越来越低下，他们比创业者参会见VC还要急躁、还要功利——想快套钱、再套钱……

在这种状态下，网络犯罪分子们不再仅仅满足于利用系统的安全漏洞，而是开始利用系统后面的人类的弱点。这就让传统的基于技术的安全防范手段越来越显得不足，大多数企业开始努力全方位的提升防御水平，以阻止或减少攻击带来的损失。昆明亭长朗然科技有限公司互联网安全分析员董志军说：随着网络犯罪等威胁环境的变化，企业级客户也开始认识到安全问题不再是信息技术问题，更多是管理的问题、是人员的问题。越来越多的首席安全官、首席信息官、首席风险官等等大头儿都开始注重针对人员进行投资，包括强化安全人员的能力，以及持续开展针对员工层的安全意识培训计划。

毋庸置疑，没有充足的安全资源是无法搞好安全的，安全专业人员也需要不断提升自己，以保证能够跟上时代发展的上步伐，能够掌握最新的威胁趋势。这里我所讲的的威胁趋势，要远远超出技术层面的“威胁预警”，那只是些漏洞列表而已。即使将它们包装上大数据、人工智能等等概念，也是不充足的，原因是安全管理水平跟不上，成为短板，再强的技术产品部署也不会成功，至少不能发挥应有的效力。

对信息安全作业流程和规章制度的培训

安全是一项平衡，不可能倾其所有投入到安全里面，也就是说，我们不能像保卫国家领导人那样，为企业的所有人员都配备足够的安全保障。同样，我们也要优化安全资源配置，将有限的安全资源投放到可以获得最大收益的地方。如果您还没有部署防病毒、防火墙这些基本的安全系统，我劝您先部署它们。接下来，该做的不是上更多更昂贵的技术系统，而是建立和改进内部的信息安全作业流程和管理制度，比如补丁修复流程、漏洞扫描流程、终端安全检查流程、信息资产管理制度、安全意识培训制度等等，并确保这些流程和制度得以落地和实施——通过定期的检查、审计和报告。

当然，要实施比较全面的信息安全管理体系那更好，这就需要更多的工作，定期的沟通、协调和培训必不可少，因为一项新的或变化着的作业流程和规章制度，总有它的背景、目标、过程、结果和控制点，这都需要不同角色人员的参与。由此可见，对信息安全作业流程和规章制度的持续性培训是改进信息安全工作的重点。

对网络信息安全技术系统上线的培训

在我的职业生涯中，我看到太多IT部门部署的网络安全系统，在项目完成验收后便扯下来，放到一边的情景。昆明亭长朗然科技有限公司董志军说：这无疑是一种不好公开说的失败，但并不能怪网络安全系统本身不够好，失败的原因在运维和支持的不到位，推翻一个旧体系，建立一个新体系不难，难在运行一个新体系。运维人员往往不像项目实施人员那样能深入了解网络安全系统维护工作的重要意义和操作实践，他们需要获得足够的培训。

还有一点，受新系统影响的用户，如果不理解不接受，那敌对起来，新系统肯定不玩完，也不能充分发挥效力。所以呢，对受影响的用户，也需很多安全技术产品方面的教育培训，就比如安装了终端安全控制软件，您得让用户从内心认可和接受，不然人家很容易明里暗里不支持的，不是卸载禁用，就是找借口说这东西不好，影响工作。

如何制定持续的信息安全意识培训计划

想借购买信息安全意识教育培训内容来改进信息安全管理体系水平的想法比较普遍，这没有什么大错，但却是本末倒置，就比如一家组织想提升内部管理水平，于是买了一车管理书籍放那儿一样，这是方法不对。正确的方法是让安全意识培训计划配合公司的信息安全管理的整体状态和目标，如果不讲安全意识目标，就来战略——选择安全意识宣教产品和服务，让战略实施来促进虚无的目标，那不正是本末倒置嘛！可能您觉得没有那么夸张，只是目标没有那么清晰地被定义出来而已，这个说法可以理解，所以我说过，这样也没有什么大错。但是话说回来，每家组织机构的业务目标、IT环境、业务和安全风险各不相同，抛开这些因素，选择通用型的安全培训内容，显然不是那么合身和适用。

要合身适用，还是得与内部业务流程、与信息环境、与安全制度等结合起来，构建内容，当然这需要较多人力物力，大型公司将这些信息安全意识的内容创作工作外包，是不错的资源配置方式，这就比如去店子里量身定制一套唐装或西服。另一种战略选择方案则是在海量的内容中选择适合自己的，这种方式就像在多个店子里多挑选试穿，也能找到适合自身的。

定期、持续、持续、持续进行信息安全意识教育

做信息安全管理体系ISMS的，有套方法简称PDCA，戴明环，不断改进信息安全意识培训其实并不算是进行持续培训的目标，目标当然是与时俱进，配合公司的信息安全管理、IT与业务风险管理等等。

全球商业态势、信息科技环境、网络威胁、攻击手段在持续演变，信息安全意识教育也得持续地进行，可以根据特殊的安全威胁或事件，进行不定期的信息安全意识沟通。同时，不要忘了，信息安全意识教育培训不是一次性的项目建设，而应该成为一个可不断重复进行和改进的安全流程。将安全意识教育定期（Regular）地进行下去，就成了规章（Regulation），多有内涵的英文单词。

昆明亭长朗然科技有限公司为多家跨国机构创作了“量身定制”式的信息安全意识教育内容资源，获得了一致的肯定和好评。我们也有创作大量模块化的信息安全意识宣教素材，包括动画视频、卡通漫画、知识讲解、互动游戏、课件模块等等，这些宣教素材也被多家国内外知名机构选用，这些客户将有限的安全预算科学地分配和使用，获得了信息安全意识宣教方面的最大收益。

如果您对这个话题有兴趣，或者有需求，都欢迎您通过电话、微信、邮件等来联系我们，洽谈业务合作。即使您只是想来电聊一聊，或者想索取一些简单的教程资源，也是很欢迎的。

电话：0871-67122372

微信：18206751343

邮件：info＠securemymind.com