旨在保障安全的信息技术要比有史以来的任何时候都要先进，与此同时网络安全事件的数量也在不断地创造历史上的新高，如何解释这种悖论呢？昆明亭长朗然科技有限公司安全宣教专员董志军表示：原因其实很简单，人为因素。在国家宏观层面，网络安全靠人民，在单位微观层面，网络安全靠职员，这个道理前些年被安全技术专员们不屑，但最近几年，由于人为因素所直接导致的安全事件高达65％，于是重视员工的安全意识，防止人为错误几乎取得了业界人员的高度认可。

如何应对人为因素造成的网络安全事件呢？在昆明亭长朗然科技有限公司，我们开发了修复“人为错误”的安全意识课程以及安全培训平台，因为对于我们来说重要的是，人员在当今的业务安全环境中扮演着越来越重要的成分。

同时，我们认识到：如果员工们不了解或不认同工作环境中围绕他们的众多安全问题；不了解保障信息安全性的最佳做法；不知道安全事件发生时如何正确应对，那么即使是再好的安全技术平台也将没有办法发挥价值。

在我们以前的博客文章中，我们多次写过如何让员工们成为安全大使、安全达人，并谈到了赋予他们参与安全行动的能力，我们也提到一些建立信息安全意识计划的指导性方法。随着时代的演进，我们需要再进行一些回顾和更新，温故而知新，以融入时代精神，在安全意识宣教领域，不断突破和创新。

废话少说，让我们给您一些有关如何在组织中设置安全意识计划的实用指导。目标是停止将安全性视为由专业人员处理的一系列一次性事件或活动（通常是在事件发生后对事件做出反应），并建立一种积极主动的普遍文化，使员工可以识别安全风险并自行采取措施或酌情升级上报。

构建安全知识库

我们要创建一批员工们需要知道的安全知识库，并在他们需要有关安全问题的信息时进行查询。具体内容可以包含与安全相关的标准、政策和程序。

记得，知识库的建立和完善是一个永远在路上的工作，所以不要等到有了完整的指南后再使用它，否则您将永远不会发布任何东西。从您拥有的内容开始，并在进行过程中不断添加信息。如果有方法可以审查和批准内容的准确性和适当性，您甚至可以鼓励员工提供材料，或者外购通用知识库进行匹配性适用性修改。

我们建议您以电子书或百科的形式发布，因为这些形式比纸质指南更容易更新。如果您决定使用百科，那么员工也可以轻松提交内容。使“知识”易于访问的关键是建立良好的导航和可用性帮助，以及主题关联、链接和详尽的索引。

核心的知识内容应包括：

日常安全实践的最佳做法：包括有关密码安全、桌面清洁、软件下载和安装、个人设备使用、远程工作等主题的政策和最佳做法。

例如，如果某个员工想知道如何下载和安装新软件，请告诉他们如何确保该软件是合法的，如果有需要，可以向谁寻求软件安装许可。

关键联系人：包括紧急事件响应小组成员的姓名和联系方式，以及有关联系时间的指导。

与安全相关的政策和程序，包括安全政策、标准、指导和作业流程，如桌面安全检查标准、差旅安全自查清单、计算机上线安全指南等等。

常见问题解答：提供有关最重要和最常见的安全问题的信息，并提供详细讨论的链接。

设置实时安全沟通

安全“知识库”是不断发展的参考性信息，我们还需要使用各种内部沟通工具以建立更多理解和互信，安全部门“自言自语”肯定不是我们想要的结果。我们建议建立和优化两个沟通渠道：一个用于使员工与可以快速回答安全相关问题的人员保持联系；另一个致力于需要升级的紧急安全问题。

很多机构都有IT服务管理渠道，可以将安全问题用户入口纳入到IT帮助台（呼叫中心）职能内，将紧急安全问题的应对转移到专业安全技术人员。这样，即提高了快速解决安全问题的效率，又能让员工们随时得到一般安全性疑问的解答。

安全意识培训活动

安全“知识库”和沟通渠道是安全意识基础架构的关键部分，此外，我们还需要使用更多动态且引人入胜的方法来将重要安全认知推给员工们。

普通员工不想参加有关信息安全的讲座，特别是80后90后，与其建立沟通和信任的好方法是使用线上培训和线下活动。

培训活动可以涵盖了一系列的安全意识主题，使用模拟场景效果最好，可以在模拟场景中进行演示，这样可能会更有帮助。一切活动都是为了使其变得更加真实和吸引人，这样员工们就越有可能吸取教训并将其应用到实际工作之中。

这些安全意识培训活动的真正价值在于营造开放式交流的文化。对些，昆明亭长朗然科技有限公司董志军强调说：员工们可以通过活动更多思考安全，他们知道的越多，就越会观察和分析，也只有这样，方能做好准备以防止安全事件或在事件发生时做出正确的响应。

安全意识培训活动的举办周期和频率可以自行灵活决定，一般在业务淡季多举办一些，特别日子如假期前举办假期安全课题。一般来说，年度一次全员安全意识电子学习刷新，每年配合国家网络安全周搞一次线下宣传活动，每季度搞一次安全意识主题交互活动和测试，每周发放一些安全动画视频和安全小提示，这些都是在采取努力将安全融入实际工作，安全搞上去了，隐患就会慢慢消失。

活动中需要宣传的内容很多，可能包括：云存储、无线网络安全、差旅信息安全、双身份身份验证、移动应用安装等等话题，当然也应该发布网络犯罪的新趋势，例如最近的增长趋势，新出现的勒索软件、新的社会工程骗术、网络钓鱼邮件的新手法等等。

小结

根据木桶理论，组织机构的安全性取决于安全能力最弱的员工，因此针对员工们的安全培训至关重要。通过创建“安全意识计划”，您可以为持续的安全学习和沟通计划奠定良好的基础，同时不会使员工们负担过多的安全信息。如果安全能成为所有人心智的一部分，则可以合理地期望安全态势得到强化。

使人们尽可能轻松地安全地完成工作，就需要我们为安全问题和疑虑的提出敞开大门，使用“安全知识库”、“安全沟通渠道”、“安全意识活动”这三驾马车来护航。这样，组织机构和员工们就不容易受到“我不知道”的内部威胁。这样，安全专业人员就可以将更多精力用于就对外部威胁。

最后，要确保安全“意识计划”深入到企业文化的各个方面，需要从员工入职到离职的整个生命周期中，不断进行安全认知的刷新和改进。昆明亭长朗然科技有限公司帮助各类型的组织机构，包括各机关单位和公司企业，建立适用的安全意识计划，我们提供全面的多种形式的安全知识内容和在线培训，欢迎有兴趣和需要的客户及伙伴们联系我们，洽谈安全意识方面的采购与合作。

昆明亭长朗然科技有限公司

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

如同社会上少数人不再相信教育能够改变未来一样，几乎每年都有少量安全业者质疑安全意识培训的价值，但是人们仍然希望孩子们能读好的大学受到好的教育，安全管理负责人仍然在对员工们实施着基础的安全认知培训。

我们的确需要反思，我们为什么对员工要搞安全意识教育呢？在员工们在安全认知上太“菜”，还是我们的系统在进行安全设计的时候没有考虑到员工们的“菜”呢？我们相信两方面的原因都有，但是无论员工们的安全认知，还是系统的安全设计，都是在不断改进之中。

员工们除了每年接受一定时间的安全意识培训之外，实际上也会受到人类进化和社会环境的影响，比如看看电视了解了新型的电话诈骗，丢失了手机后更深入地认识到移动信息的安全等等，这是很自然不过的了。

说到安全意识教育，人们可能会说，“相关的知识理念人们都了解，甚至也认同，但是就是不遵守，别说黄赌毒，就问问抽烟、酗酒和熬夜的那些人们吧，他们可能比没有那些行为的人更理解其危害，然而有什么用呢？”这难道是教育的失败吗？昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说：这种情形的确是教育的失败，但并不全是，准确点说更多是受众的选择问题。因为在有些情况下，人们并不选择正确的答案，这里面可能有外因和内因，外因往往是外界的刺激、环境的影响等等，内因则是对诱惑的抵制力、对行为的约束力等等。比如多年不见的老朋友相聚，往往都知道不应该喝得乱醉，但仍然会受酒桌文化的影响，又不得不在心里告诉自己去放纵一次。

上述的例子可能并不全适用于安全教育，多项安全事故调查表明：职场新人往往更容易成为安全事故的受害者，显然在多数职业人士的心目中，安全生产事故的后果不同于偶尔一次放纵对身体健康的影响。

设计可以不断地改进以增长安全性，但是相靠安全的设计来避免“菜鸟”们出现危险的行为路途漫长，甚至很不现实。比如菜刀可以用来切菜，当然也能误切手指，我们不否定可以在菜刀的设计上考虑误切手指的防范功能，但是又有多少人使用这样的“安全”菜刀呢？

有不少公司出台了安全相关的规章制度，但是却没有与员工进行沟通，员工们对安全的认知远达不到规章制度所期望的水平，这种情形便是安全知识教育的不足。

安全意识教育，不仅仅是给人们安全知识，更需要教会人们进行正确的安全选择。如果某人有正确的安全知识，但是却要故意捣烂，比如自残或实施破坏，那的确是教育的失败，但和教授正确的知识没有关系，只和选择有关。

向员工们提供正确的安全意识知识教育是永远不可少的，但是在选择方面，需要给予必要的外部刺激。虽然关于安全行为的选择权握在最终用户的手中，但是适当的外部刺激能够促进员工们在面临安全问题时进行正确的选择。

有不少公司出台并颁发了安全相关的规章制度，并且同员工们进行了必要的沟通和培训，但是员工们遵守不遵守这些都没有关系，违反规定的也不会受到任何惩罚，甚至都不会受到正义的谴责；严格遵守规章的员工们没有得到任何奖励，也不会成为道德的楷模。缺乏必要的奖惩刺激，让员工们不辨是非，碰到安全选择时甚至有些迷惘。

我们可以在技术甚至流程层面上对系统进行必要的安全设计，比如关于密码安全，我们可以在系统中启用复杂密码策略，但是能少掉必要的安全意识教育吗？能不告诉用户什么是所期望的复杂的密码吗？我们必须得告诉，无论是在密码输入栏旁边还是专门的密码安全培训，我们都需要同用户进行沟通，否则可能有用户不理解、不支持的行为，比如输入几次简单的不符合要求的密码被拒绝后便放弃或罢工了。

再回到最初的问题，为什么对员工要搞安全意识教育呢？我们的目标是想要员工们有正确的安全行为表现，我们首先要告诉员工们什么是正确的安全行为，然后要通过奖惩来刺激进行正确安全行为的选择。我们可以通过系统安全设计来帮助实现正确的安全行为选择，但是安全意识教育仍然很必要。比如想让一支队伍排列整齐，我们可以通过拉一条线来进行规范“设计”，但是这条线是个辅助，我们不告诉队伍如何好好使用这条线的话，不进行必要的知识灌输和行为激励的话，这条线仍然可能被拉得东倒西歪的。即使后来“设计”成一条钢管，也可能成为队伍拿来当棒使的武器或拔河用的器具。