在个人信息安全保护领域，媒体经常曝光机构中的不良人员代价出售客户资料的事件。为了打击和防范公民个人资料的随意买卖，国家不断出台各类法规，无奈国民法律意识、隐私保护观念和个人信息安全意识都比较淡漠，加之公民资料往往经过多手地下市场交易，调查取证和执法难，所以在保障公民个人资料方面现状是“有法不依”。

我们可以通过全民的信息安全教育来强化个人资料的保护，实际上，据昆明亭长朗然科技有限公司数据安全丢失调查人员James Dong的分析：真正造成大规模的资料外泄的源头并非政府机关和大型企业，而是小型中介机构和网站。举例来讲：房管局、工商局、车管所、公安局派出所内的工作人员往往并不会对公民的个人信息感兴趣，即使有兴趣，也担心自己的铁饭碗。源头在哪儿？在与之关联的那些地产开发商、销售商、物管和房产中介；在代办工商税务登记的财务公司和提供验资服务之类的会计师事务所；在汽车4S店、各种消费类的会员卡办理中心、刻意收集实名信息的行业类社区网站和那些提供打印复印服务的小店……

如果说个人信息不当泄漏的后果大不了是可能引来些诈骗电话和广告推销，那在商业领域里的数据安全保护可不能令信息安全管理者们轻心，一条关键的情报数据可能改变行业竞争格局，也足以让一家企业陷入长期低迷。

近期欧盟信息安全委员会的一份调查显示：96%的用户会向第三方业务合作伙伙或客户分享敏感数据，而不考虑是否有足够的信息安全措施。这是因为在一个协同合作的世界里，人们对效率和成本的要求很高，很多事务都在时间紧迫、预算紧张等等压力之下运作，电子化信息安全是增加沟通效率和降低成本的重要手段，这就让许多敏感信息数据被随意传输，造成邮件、大型文件以及便携式存储媒介等等的丢失。

虽然公司内部人员并未向无关的外界分享这些敏感数据，但是很难保障第三方也是如此，如果这些敏感数据一直向下分享，要不了几次便能传递到竞争者的手中。类似的六度空间理论也出现在社交网络中，称任何使用者只需通过6.6人就可以和全部人员产生关联。那么如何能够有效防范敏感数据一直流向不恰当的地方呢？亭长朗然公司James称：市面上有些数据安全产品，使用透明加密和存取授权功能来限定敏感数据的传播范围，我们可以尝试在电子化信息化中使用这些产品。但是不要忘了仅仅停留在技术层面的安全防控措施并不足够，公司大量的敏感信息实际是并未电子化，而是由人们口口相传。所以，我们也需要更多的保障数据安全的方法，特别是在安全管理层面、流程制度层面和人员教育层面。

首先、无疑要让员工们明白什么是敏感数据，进行数据分级并向员工们推广信息数据分级理念是基础，此项工作进行的最高境界是当员工们触及到任何信息时，都会想“这些信息是否涉密呢？”

其次、要让员工们明白，敏感数据的存取都需要授权，衡量这项工作的最高境界是当员工们将要触及敏感数据时，会想一想：“自己、同事和第三方是否有权存取和披露这些敏感涉密信息呢？”

最后，则是在数据安全管理上，我们需要让各部门的总监经理主管们积极参与进来，因为这不仅仅是IT部门或安全部门的事务，敏感信息数据的安全和各部门的工作密切相关。昆明亭长朗然科技有限公司James表示：只有经理主管们担负起他们的领导责任，并且惇惇教育和严格要求下属注意保护敏感数据的安全，防止向第三方随意分享敏感数据时，信息安全管理工作方能获得大范围的覆盖，方能获得成功所需的群众基础。

业务部门的总监经理主管们并非IT安全培训方面的专家，这方面，IT部门倒是可以帮上不少忙。我们在IT安全培训领域也愿意帮助IT部门的安全经理主管们，快速而有效地建立一套信息安全意识培训体系，和导入优质的员工安全知识培训内容。

在国内大的背景下，面对家庭和个人用户的计算终端安全都已经免费；而面向企业级的网络信息安全产业似乎只为特定行业而生，大到拿国家项目巨额补贴的信息安全概念股，小到分食信息安全集成项目的独立安全顾问，无一不是在吃党和政府的“政策饭”。

刚性的需求也有，病毒、黑客和商业间谍只是众多安全威胁的一小部分，虽然开源的系统足以满足大量的企业级安全控制需求，但是开源是技术极客和英文高手们的天堂，懒汉和菜鸟们只能仰天长叹。同时，基于开源系统的安全服务概念尚未被成功商品化，多数厂商只能雇佣一批批软件开发人员，勾画出华丽而傻瓜化的中文界面，尽管其核心仍然是开源技术，然而在知识产权的激励机制下，便摇身一变，成为民族的“自主创新技术”。更重要的是，这些软件产品，外加上特别的硬件“盒子”，便很容易变成明码标价的网络信息安全产品。

信息安全培训和意识教育又是整个信息安全产业中的一小部分，当然也不能免俗，不过教育培训多倒是赤裸裸的服务，放在企业培训领域，信息安全培训则更像是沧海一粟。从人力资源的角度看，信息安全培训和意识教育是必不可少的，至少在信息时代，人们有信息资产如信息数据和信息系统需要保护，保护这些信息资产的人们需要有一定的安全能力和资质，显然这需要靠培训来获得。

然而，这些似乎并不是企业层面进行信息安全意识教育的驱动力量，那么驱动力量何在呢？昆明亭长朗然科技有限公司的安全行业分析师Richard Leung总结出如下几点：

法规遵循政策驱动

今天的上市公司不仅会被要求防范黑幕，更被要求进行必要的信息保密和披露措施，显然管理层如果不对员工们实施必要而充分的安全意识培训，在出现类似欺诈交易等恶性事故之后，很容易被监管层狠批在员工安全意识培训上不够称职。

而特定的行业则面临监控机构更多的安全规定，其中都不乏员工安全教育这一块儿。尽管这并不是安全监管的全部内容，只是一小部分，但是仍然需要安全意识培训方面的计划以及培训的日志记录。

应对法规遵循政策驱动力的安全意识培训应该如何进行呢？亭长朗然的安全讲师Alice Wong说：尽管在针对全体员工的安全培训上只有粗略要求，并没有详细的操作指引或细则，信息安全负责人仍然需要注意两点：一是找出组织机构需要遵循的安全法规，比如公安发布的计算机信息系统保护条例、重点行业的所需遵循的等级保护条例、行业监督委员会关于信息安全的红头文件等等。二是为支持对这些法规的遵循，需要对不同角色人员进行的不同培训。

客户信任业务驱动

大众对个人信息失窃的事件成为安全头条新闻已经变得心寒，并且开始觉悟。那些泄露或卖掉私人信息的商家已经开始失去客户的信任，甚至有客户开始采取法律手段来维护自己的权益。要重获信任并不容易，首先从内部抓起，要加强对员工进行安全和隐私保护教育，防止内鬼为了蝇头小利铤而走险，同时也要教育客户，展示公司的在数据的安全保护方面的作为遵循了法律法规的要求，让客户有足够的信心。

保障业务安全驱动

前两者是外在的驱动力量，而保障业务信息安全，无疑是内在力量，发自内在力量的安全意识教育往往能获得更好的效果。毋庸多说，基于技术和流程的安全控管措施可以在一定程度上保护信息资产的安全，然而大部分的信息数据却存在于员工们的头脑之中，而那些基于技术和流程的安全控管措施也需要与人们的互动才能发挥足够的作用，所以为保障业务的成功，无疑需要加强对员工们进行信息安全意识方面的教育。

是否有其它方面的驱动力量呢？当然有，比如提升企业的信誉，彰显管理层的作为、构建学习型组织等等，但是这些并非核心要素。驱动信息安全意识教育三大力量，才是安全意识培训负责人所背负的“三座大山”，昆明亭长朗然科技有限公司的重要任务便是积极有效地整合这三股力量，帮助安全培训负责人化被动为主动，最终轻松推翻“三座大山”。