近期金融行业安全丑闻再起，央视315晚会曝工行、招行、农行员工兜售客户信息，三月底又爆出全球最大线上交易付款服务公司之一的Global Payment信息卡数据库被黑客入侵。

招行是银行界的创新服务标兵，315晚会曝光的胡斌更是招商银行信用卡中心风险管理部贷款审核员，通常提到风险管理，提到审核，人们都觉得从业人员在严格的控管环境中受到无形的熏陶，应该有较高的安全觉悟和保密意识，特别是在保护机密客户数据防止外泄方面。

然而事实上并非如此，虽然作者本人并无金融服务公司的工作经验，但举亲身经历的例子可窥一斑，在联系同一家银行要求进行密码重置时，从多名银行工作人员那里获得的密码重置流程和所需提供的证明资料并不一致，甚至有的表明不清楚，排除沟通中可能存在理解的误差，以及银行员工岗位和知识面的限制，我们仍然也可看到其内部的安全控管流程并不为多数员工所了解，其根本原因是进行安全控管的精神和理念不为员工所理解和接受。

说到底，很多大型金融机构都是中央控管，比如总行设置统一标准的安全控管体系，各地分行支行都按照同一模式运作，根据规模大小可能在产品和服务的项目上有所差异，这种中央控管的方式最大的好处在大批量的规模化优势，标准化的服务体系也避免了重复性的工作，在这儿我们不谈个性化服务和地域差别等因素，在安全控管方面，远离中央的分支机构只需按总部和上一级制定的标准框架，或由其它网点转派的领导进行复制，即可以轻易搭起服务体系，毕竟金融机构通过建立这多网点也积累了丰富的经验。

中央控管不足之处是分支机构内的员工普遍缺乏业务一体化的观念，在安全控制和防范上，只了解“该怎么做”，但是“为什么要这样做”的基础理念不够，因为“为什么要这么做”由总部在制定各个规章制度、各种岗位职责等等的时候给包揽了，而在员工培训时只重视告诉其“该怎么做”，忽视向员工告知这些规章制度的缘由和精神理念，除了部分员工会在工作中慢慢领悟和理解这些道理，多数员工会慢慢淡忘掉那些和日常工作关联并不太大的规章制度，自然结果会表现在员工为了点蝇头小利，躲避或忽视安全制度，进而铤而走险，最终给自己和公司带来信誉方面的损失。

金融服务业虽然是暴利产业，但在信息化时代，却面临着各类信息安全相关的威胁，信息系统与服务本身的安全性往往有专业的团队和服务机构帮忙，但面对客户的网上交易、移动支付等等多种金融服务的安全状况并不容忽视，尽管金融业有值得骄傲的安全控管体系，用户终端的安全不能仅仅靠一纸法律协议便让用户自行承担自行失误或无知所造成的金钱损失，不过，在营业厅悬挂大屏幕对用户进行培训是值得肯定的举措，不过无疑应该加强更多惠及客户的内容方面的制作和发布。

金融机构内部工作大都都已经信息化，尽管关键业务系统和办公系统有物理隔离，更有其它信息安全相关的控管措施，不过，最难的也最需要进行的是对员工进行安全意识培训，使他们不仅能够了解“该怎么做”的工作规范和流程，更要让他们了解“为什么要这样做”的基础理念，只有这些基础的信息安全理念被员工们所理解，他们才能真正从内心接受对其工作规范的要求，才能真正保护起客户的信息安全和公司的商业信誉以及业务成功。

尽管泄露的数据并不多，敏感信息如持卡人姓名和地址并未受到影响，但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡，不过新闻一出，仍然导致其公司股价大跌9％。

金融服务机构在安全事故的处理上，也应该向Global Payment学习，保护客户的利益，应该做到及时透明的沟通，让客户在第一时间意识到安全事故对自己的影响和了解到需采取的后期应对措施，此外，尽管安全意外事故和不良员工行为不可能100％避免，加强员工的安全意识培训可以降低安全事故和不良行为的发生概率，更能在发生安全事故后进行及时和正确的响应。

员工安全培训不应该只是将员工召集起来，在课堂上宣读一下公司的安全规章制度和讲解一两小时PPT文档。安全意识认知教育也不应该只是讲一些故事和道理，并且让员工签字画押以示公司进行了这项培训活动。

简单说，员工安全培训不是安全文书下达渠道，也不为彰显安全保卫力量，更不是留个证据给审计人员看的。安全培训的目标是将信息安全相关的倡议内置进组织业务流程和商业行为准则之中，让员工在日常活动中时刻拥抱安全。

员工安全培训的目标是让员工们拥有正确的安全行为，而不仅仅是单方面倾倒一些安全知识。昆明亭长朗然科技有限公司James Dong补充说：在安全培训达到既定目标的同时，也会在很大程度上促进整个信息安全管理体系的目标，即保障商业成功，保护知识产权、信息资产和计算资源。

为达到甚至超安全意识培训的目标，在战略上，我们需要建立可行的安全培训方案，我们需要寻找能够带领队伍和跨部门营销的专职干部。因为所有的安全教育计划基本上都是内部营销活动，在整个组织内提高对安全风险的认识和推广良好的安全实践需要内部沟通高手和员工关系高手。

我们不能凭空拍脑袋说谁谁需要哪些安全意识和能力，我们需要调查分析安全认知现状和安全需求，每位员工和每个部门对安全的认识和理解会各不相同，对安全控管的需求也会体现出差异，员工们的角色和职责不同，各个部门和业务单元都有各自关注的偏重，这些无疑将是成为安全教育培训方案的输入。

尝试找一些有岗位代表性的和关键的人员进行访谈，问问如下问题：
您的工作中有遇到哪些安全风险？
为什么您认为是安全风险呢？
您认为我们应该怎么处理这种风险？
您最喜欢或者您认为什么样的沟通方式最为有效？

一旦您确定有了安全教育方案的要求，您将需要分配资源，组建队伍，并决定品牌。

将员工、部门甚至业务单元进行分组，列出必要的安全意识主题，制定安全意识培训矩阵，并开始设定安全意识教育培训计划。安全培训计划无疑需要涵盖年度的员工安全意识培训和新员工入职安全意识培训，此外，还需要更多各式各样的安全意识沟通活动。

安全教育方案制定出来之后，这一方案得到了组织高层领导和全体员工的支持。它具有强制性和选择性的元素，是正面和有激励性质的。

如果您准备实施安全教育培训方案，如下几点小技巧分享给您：

1.一定要得到高级管理层的支持。当行政总裁说安全非常重要，并且提倡一些安全做法时，员工会更加注意。
2.争取优质和恰当而不是大量的资源来执行计划，重要的是要建立强有力的关系，汇聚一批来自组织各个单元（部门）的有影响力、对安全教育有激情的人，并不断加强这些关系。
3.搜集安全问题，挖掘意识培训需求。问问那些最熟悉工作场所环境的一线员工，也问问经理们和安全人员，问问他们组织面临的安全隐患和威胁。
4.如果内部资源不够丰富，建议寻求专业的安全意识培训咨询顾问服务，即便顾问们对公司和业务的熟悉程度不如内部人员，但他们的经验值得借鉴和学习。

安全培训方案的实施其实正好反映了公司的企业文化，通常我们建议每季度进行一次较大规模的全员安全意识沟通计划，零星的安全意识推广则可随时随地按需进行。

安全教育培训方案要有始有终有所输出，就需要衡量绩效和不断改进。昆明亭长朗然科技有限公司建议可以测量的数值包括：参加安全培训活动的人数、培训资源如安全教育视频及文档等的点击数、安全意识题目的正确回答率、人为原因造成的安全事故数量……

昆明亭长朗然科技有限公司提供安全意识培训计划咨询及实施服务，帮助各类型的组织机构评估安全意识认知现状及需求，以及制定安全意识教育目标和计划。欢迎和我们联系洽谈业务合作。

除了分享信息安全意识教育解决方案之外，我们也愿分享一些产品和服务，以便有需求的各安全培训负责人能能够有所收获。