会议主题： 全员信息安全意识培训计划讨论

参会人员：

•    李明 (首席信息安全官CISO) – 主持人
•    张丽 (员工培训总监HRD)

会议时间： 5月27日 10:00 – 12:00

会议地点： 公司会议室

记录人： 李明

1. 开场与议程确认 (10:00 – 10:10)

李明： 早上好，张丽。感谢你抽出时间参加这次会议。正如你所知，信息安全对我们公司至关重要，随着威胁形势日益复杂，提升全员的信息安全意识已经刻不容缓。这次会议的主要目的是共同讨论并敲定一个全面的、有效的全员信息安全意识培训计划。

张丽： 早上好，李明。我也非常重视信息安全工作。我们培训部一直致力于提升员工技能和知识，这次培训计划我们会全力配合，确保员工充分了解并掌握信息安全相关的知识和技能。

李明： 很好。今天的议程包括：

•    评估当前信息安全风险状况及培训需求；
•    讨论培训计划的目标、内容、形式和频率；
•    确定培训资源、预算和时间表；
•    明确培训效果评估方式和持续改进机制。

张丽： 没问题，这个议程很周全。

2. 信息安全风险评估与培训需求分析 (10:10 – 10:40)

李明： 首先，我想简要介绍一下我们当前面临的信息安全风险状况。近一年来，我们检测到网络钓鱼攻击数量增加了30%，勒索软件攻击数量翻倍。内部数据泄露事件虽然数量较少，但造成的损失也相当可观。这些事件表明，员工在信息安全方面普遍存在一些薄弱环节。

具体来说，我们发现以下问题：

•    钓鱼邮件识别能力不足： 员工容易点击恶意链接或打开附件，导致恶意软件感染或数据泄露。
•    密码安全意识淡薄： 仍有部分员工使用弱密码或在多个平台使用相同密码，增加了账号被盗的风险。
•    数据处理不规范： 员工对敏感数据的分类、存储和传输缺乏明确的规范，容易造成数据泄露。
•    终端安全意识薄弱： 员工对个人电脑、手机等终端的安全设置和维护意识不足，容易受到病毒、恶意软件的攻击。
•    物理安全意识不足： 办公场所的门禁、文件管理等物理安全措施执行不到位，容易造成数据丢失或泄露。
•    社交工程攻击防范能力弱： 员工对社交工程攻击的识别和防范能力不足，容易被攻击者利用。

基于这些风险和问题，我认为我们需要一个全面、系统的信息安全意识培训计划，来提升员工的整体安全水平。

张丽： 听完你的介绍，我感觉这些问题确实很突出。我们之前做过一些简单的安全知识宣传，但效果并不明显。这次需要一个更深入、更系统的培训计划，针对不同风险点进行有针对性的培训。

李明： 没错。我们需要从根本上改变员工的安全意识，让信息安全成为他们日常工作的一部分。

3. 培训计划的目标、内容、形式和频率 (10:40 – 11:20)

李明： 接下来，我们讨论一下培训计划的具体内容。我认为培训的目标应该包括：

•    提高员工对信息安全威胁的认知： 让员工了解常见的网络攻击手段、攻击后果以及如何识别和防范这些威胁。
•    强化员工对安全政策和流程的理解： 确保员工了解公司的安全政策、制度和流程，并严格执行。
•    培养员工的安全操作习惯： 帮助员工养成良好的安全操作习惯，例如使用强密码、定期备份数据、安全浏览网页等。
•    提升员工应对安全事件的能力： 培训员工在发生安全事件时如何及时发现、报告和处理。

基于这些目标，我认为培训内容应该涵盖以下几个方面：

•    网络钓鱼识别与防范： 如何识别钓鱼邮件、短信和网站，避免点击恶意链接或泄露个人信息。
•    密码安全： 如何创建和管理强密码，避免使用弱密码或重复密码。
•    数据安全： 如何保护敏感数据，避免数据泄露或丢失。
•    终端安全： 如何保护个人电脑、手机等终端的安全，避免病毒、恶意软件的攻击。
•    物理安全： 如何保护办公场所的物理安全，避免数据丢失或泄露。
•    社交工程攻击防范： 如何识别和防范社交工程攻击。
•    安全事件报告流程： 如何及时报告安全事件。
•    合规性培训： 涉及的行业法规，如《网络安全法》、《个人信息保护法》 等。

张丽： 这些内容涵盖了大部分关键的安全风险点。我认为可以采用多种培训形式，例如：

•    在线学习： 通过在线平台提供学习资料、视频课程和测试，方便员工随时随地学习。
•    课堂培训： 组织面对面的课堂培训，由安全专家讲解安全知识和技能。
•    模拟演练： 组织模拟钓鱼邮件攻击、勒索软件攻击等演练，让员工在真实场景中学习应对方法。
•    安全知识竞赛： 组织安全知识竞赛，激发员工学习兴趣。
•    宣传海报和邮件： 定期发布安全宣传海报和邮件，提醒员工注意安全。

李明： 这些形式都很好。我建议可以根据不同岗位的风险等级和员工的安全意识水平，制定不同的培训计划。例如，对技术人员可以进行更深入的技术安全培训，对普通员工可以侧重于通用安全知识和操作技能。

张丽： 这个建议很好。我们可以采用分层培训的方式，确保每个员工都能得到有针对性的培训。

李明： 至于培训频率，我认为每年至少进行一次全面的安全意识培训，并定期进行安全知识更新和提醒。

4. 培训资源、预算和时间表 (11:20 – 11:40)

李明： 接下来，我们讨论一下培训资源、预算和时间表。

•    培训资源： 我建议可以聘请专业的安全培训机构或安全专家来提供培训服务。我们也可以开发自己的在线学习平台和培训课程。
•    预算： 我初步估计，这次培训计划的预算大约在5万元左右，包括培训费用、教材费用、宣传费用等。
•    时间表： 我建议在下个月启动培训计划，先进行在线学习，然后组织课堂培训和模拟演练。具体的培训时间可以根据员工的工况进行安排。

张丽： 5万元的预算是合理的。我们可以与几家安全培训机构联系，比较他们的报价和服务。我会在两周内制定详细的培训计划和时间表，并提交给你审核。

5. 培训效果评估和持续改进机制 (11:40 – 12:00)

李明： 最后，我们讨论一下培训效果评估和持续改进机制。

我认为，培训效果评估应该包括以下几个方面：

•    知识测试： 在培训前后进行知识测试，评估员工对安全知识的掌握程度。
•    行为观察： 观察员工在日常工作中是否能够遵守安全规定和流程。
•    安全事件统计： 统计安全事件的数量和类型，评估培训对安全事件的减少效果。
•    员工反馈： 收集员工对培训的反馈意见，了解培训的不足之处。

张丽： 这些评估方法都很有效。我们可以将评估结果用于改进培训内容和形式，确保培训的有效性。

李明： 是的。我认为，信息安全意识培训是一个持续改进的过程。我们需要定期评估培训效果，并根据评估结果进行改进，确保员工的安全意识能够不断提升。

总结：

李明： 今天的会议非常成功。我们共同讨论并确定了一个全面的、有效的全员信息安全意识培训计划。张丽，感谢你积极参与讨论并提供了宝贵的意见。我期待你的详细培训计划和时间表。

张丽： 谢谢你，李明。我会在两周内完成详细的培训计划和时间表，并提交给你审核。我们会全力配合，确保培训计划的顺利实施。

会议结束。

此会议记录是基于事实进行虚构的，昆明亭长朗然科技有限公司外派安全意识专员李明到客户现场担任虚拟首席信息安全官（CISO），在客户的人力资源培训与发展总监张丽的大力支持下，开启了成功的信息安全意识培训活动。如果您对这个话题有兴趣，欢迎不要客气地联系我们，来聊一聊相关的话题。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

搞信息安全，需要找到恰当的平衡点，不能做安全做到太过，影响业务和信息运作的效率；也不能太弱，没有底线让业务信息时刻处于威胁之下。

实话说，不少信息安全事件也并非孤立的安全违规，违规背后多数都有其深层次的原因，如果违规者了解信息安全相关的规章制度以及可能造成的后果而孤注一掷贸然行事，我们则需深挖之，否则类似的信息安全事件仍会不断发生。

昆明亭长朗然科技有限公司James Dong说：防止内部“泄密”，无疑需要强化保密意识和信息安全观念教育，仅靠文档加密防泄漏系统是封不住人们的嘴巴的。黑客、商业竞争者和不良媒体人员多的是渠道。

拜托，黑客和不满雇员与竞争对手联合坑害公司的案子很常见，信息安全的一项重大威胁来自商业竞争对手，他们不仅窃取客户信息和产品研发资料，更会利用财务信息来制造新闻。所以，信息安全远不是信息科技部门的事儿，不经意随便露出的一角都可能被竞争对手恶意利用，强化全体员工的信息安全意识教育，是信息安全负责人及高管们的重要职责。信息安全意识培训计划的关键，是要通过一些信息安全案例来引起员工们的思考，而不仅仅是告诉他们赤裸的答案——应该怎么做。

公开的市场交易不顺畅，人们只能走私下的交易渠道，这反倒促进了社会迈向更深的“潜规则”，地下交易也衍生出虚假报道以及腐败等行为，进而让有效的监管变得更不容易，与之关联社会隐性问题会变得更多。做信息安全管理也能吸取经验教训，要让员工们的正常信息访问和使用需求得已轻松满足，不要过分使用安全技术控管手段来压制工作相关的网络和信息系统应用，要公开那些公司认为不安全的信息系统使用方式，并获得最终用户的理解和支持，建立适当的信息安全需求及问题沟通反馈渠道，站在用户的角度和安全政策的立场想安全与效率，不局限于某个具体的安全管理平台或技术规范，定会灵活快速地处理信息安全相关的问题，同时又满足了用户的业务要求。亭长朗然公司警告称：一味盲目的使用计算机安全技术控管手段压制，可能引起用户的怠工，让业务效率受损；也可能引发最终用户恶意躲避或越过安全控制措施，甚至变身“特洛伊木马”，从内部发起破坏行为。

这是全民自媒体的新媒体时代，人们宁愿通过社交媒体和志同道合的人们触碰。媒体大佬们，该清醒一下了，想想问题的根源何在，以及如何有效疏导。信息安全管理委员会，也需要从中获得灵感，需要让所有员工了解到，即使出于正常的业务创新或市场拓展之目的，也要在公司的信息安全管理制度框架下进行，可能会让增长速度变缓，但是却能带来长期稳健的发展。公司大起来，规章制度多少可能会压制一些个人英雄主义，血气方刚的年轻人想有一番作为，去创造不同，但不能恣意破坏和践踏现有的信息安全秩序，否则伤到的不仅是自己，更是公司众多同事、股东和客户。而要让这引进初出茅庐的职场新员工了解信息安全的关键要义，只能通过员工信息安全意识培训计划来推进，要让员工明白在社交媒体上，和工作相关的内容，哪些可以讲，哪些不可以讲。

要说哪些公司一点儿没有问题，也是掩人耳目，在这个人情社会中，有哪家公司没有点违规操作和内幕交易呢？话虽然这么讲，但是源头上的不干净并不能是借口。成千上万员工代表着公司，从概率上讲，少数员工中肯定有不良的甚至违法的行为，会给公司的形象信誉造成负面恶劣影响，加上不当竞争者恶意中伤，媒体扇风起火肆意放大，想逃离舆论毒箭有时是很难的。但是上市公司高管们需要证明自己尽职尽责，在公司治理、风险管理、信息安全控管和员工职业道德建设等方面有所作为，无疑需要做好表率，在方针政策层面签署高端文件以示支持，并积极赞助和支持相关的信息安全意识宣传推广活动。

我们要谈谈信息安全与法规遵循，有公司员工违纪便称是员工个人行为，这简单就是掩耳盗铃；称对员工监管不力，也是托词，以公司一份子——员工的身份犯了错，就是公司的责任。管理层要勇担职责，要代表公司向受害方致歉，并在公司内部对涉事员工进行处理。当然，信息安全管理委员会更需要让员工们知道的是：影响恶劣的，除了公司的严厉处罚之外，违反国家法律的，更是要交给司法机关处理。

公安机关办案，你敢挑战警方，很不当，等待的只有重罚。正确的方式是好好配合警方，与警方密切合作。要让员工们理解和接受自身的信息安全职责以及规章制度，甚至违反国家法律的后果，也只能通过适当的信息安全培训教育课程来实现。

在此，关于对信息安全与法规遵循方面的认识，昆明亭长朗然科技有限公司创作了多部在线信息安全意识教育课程，欢迎有兴趣的朋友联系我们进行预览和访问。如需定制化的教程，欢迎和我们联系洽谈业务合作。