网络安全无疑是一项跨部门的工作，这是所有行业的信息安全总监、经理和主管们不得不面对的挑战。无论是大中型公司或小微型企业，无论是中央机关还是地方单位，网络安全现在都是无法忽视的重要事务。对此，昆明亭长朗然科技有限公司网络安全分析员董志军表示：如果关注网络安全新闻，您就会知道，每年都会发生大量安全事件，苹果、索尼、京东、谷歌、当当公司这样的大公司都难逃被入侵的厄运，何况很多不会众人所熟悉的中小企业呢！可以说，所有现代的、联网的组织机构都是网络安全的潜在受害者，黑客、病毒等网络安全威胁会通过所有的通讯渠道进行渗透入侵，因此，谁都不能置身事外。

网络安全既是技术问题，也是人为问题，更是管理问题，因此搞好网络安全，需要流程、技术和人员三者有效结合的管理解决方案。组织机构必须要求管理者、员工、供应商、商业伙伴等等共同承担确保网络安全的责任。要让人们担负起责任，需要与其沟通，让其理解组织机构对其的网络安全期望，通常会制定出一些安全行为规范，并对目标受众进行安全知识的宣导，然后进行考核测试并令其签署网络安全责任书。

让我们简要分析过去的这种做法，组织机构可能仅出于法规遵从性（合规）或行为改变而实施安全意识宣导活动，这往往是被动的，或者局限于某项安全问题的，因此，不够全面和深入。现在，人们正在寻找超越安全知识和行为的方法，以使安全成为文化的一部分。

随着“国家网络安全宣传周”活动的大面积铺开，承办机构和中央机关往往会策划一些活动，并要求下属或关联机构参加，以活跃良好的宣传活动气氛。网络安全负责人应借机强化人员的网络安全职责，这正是进行网络安全政策和文化变革的非常完美时机。接下来，我们将探讨一些网络安全意识计划推广工作的方法和小技巧，以便与相关负责人、策划及执行人员分享。

发现和找出重要的信息资产

“网络安全等级保护”制度已经在很多关键性行业落地，这种思想和方法可以用于等保之外，在制定信息安全框架策略之前，应该确定组织中最有价值的信息资产。除非不这样做，所制定的安全策略最终可能迷失方向，保护了不太重要的系统或数据。让关联部门或业务单元列出重要的信息资产，以及所面临的安全风险，有助于让相关人员初步建立网络安全责任意识。

建立及更新风险应对策略

在确定好需要重点保护的信息资产之后，下一步就是实施网络安全保护。通常应该建立安全规范、策略和流程，其主要目标是保护信息系统和信息数据，以应对各类安全威胁。在制定相关风险应对策略的过程中，各部门或业务单元的领导干部以及安全协调员应该会再次强化网络安全责任意识，特别是相关的安全工作流程，需要他们日常或定期参与。此外，网络安全负责人应发动针对安全策略、流程文件的定期测评和审查，以确保有效性和保持更新，在这个过程中也是对人员网络安全责任的重复强调。

建立安全事件检测及响应能力

网络事件可能发生在组织中任何易受攻击的部分。因此，大多数员工应具有及时发现违规或可疑活动的能力。否则，隐藏于众多计算终端及员工们身边的安全隐患就无法被识别出来，分担网络安全责任就是一句空话了。列出一些网络安全隐患和安全事件的特征，以便员工们知晓，比如工作场所出现的陌生人、计算设备出现的异常情况、可疑的信息刺探来电、不请自来的电子邮件附件、不合情理的过分权限请求等等。这些将帮助员工们了解需要报告的事件和可以忽略的事件，进而让员工们了解其在日常工作中所能做的网络安全事情，在潜移默化中反哺网络安全责任意识。此外，网络安全部门强化安全事件的应对能力，包括与部门或业务单元的领导及安全协调员的协同工作，所有的安全事件都应立即得到遏制，并采取适当的措施予以应对。因此，制定并实施安全事件响应计划是网络安全部门的关键工作，该计划将使业务运营尽快回到正轨，而且影响最小。当人们了解到自己在网络安全事件化解方面可以为组织做出的积极贡献，甚至可以得到认同或奖励时，他们会更有责任感。

建立及更新业务持续性计划

不怕一万，就怕万一，即使人人都有足够的网络安全意识并能积极投入安全保护行动，组织机构仍然应为最坏的情况做好准备。在发生意外的灾难性安全事件，比如重要的信息资产被破坏，信息系统中断、数据失窃之后，请立即启动业务持续性计划，响应并使业务操作恢复正常。灾难恢复计划中应以人为本，确保人员生命安全为每一要素。灾难中，员工们应该知晓生命受到关爱，在生命安全不受威胁的情况下，自然而然就会全心投入到业务的恢复工作。经历过灾难，经过努力奋斗，将业务恢复到正常，员工们将更加深入地认识到网络安全工作的重要性，认识到自身的网络安全责任。

总而言之，针对人员的安全意识计划很重要，因为人员将一直是网络不法分子坏蛋的主要目标。使用上述这些技巧，网络安全管理负责人可以创建一种共同承担责任的企业文化，以激发所有人员的安全思想和行动。显然，网络安全的未来取决于所有的利益相关者，包括我们所列举的网络安全部门、业务部门或业务单元、供应商、合作伙伴等等。任何一方在网络安全方面的疏忽或过失，都是没有任何一个利益相关者能够完全承担的，因为每一个计算终端、每一位同事的安全弱点都可能被利用，进而对整个组织来讲，演变成前所未有的巨大灾难。

为了帮助各类型的组织机构强化人员的安全职责意识，进而帮助保护组织机构的重要信息资产，昆明亭长朗然科技有限公司制作了大量的用户安全意识培养教程内容和素材资源。如果您有这方面的兴趣或需求，请联系我们洽谈业务合作。

在当今文明世界中，所有的组织机构都拥有大量需要得到保护的数字化信息资产，核心的信息资产不仅关系着组织机构的正常运营，甚至可以影响到生死存亡。尽管业界厂商可以提供一流的网络与信息安全托管服务，但是黑客能够采取躲避安全技术控制措施的鱼叉式网络钓鱼和社交工程之类的狡猾策略。对此，昆明亭长朗然科技有限公司信息安全管理咨询专员董志军表示：信息安全形势在不断变化，常规的组织机构可能很难跟上变化的步伐。以下我们将向您分享一些信息安全意识宣教技巧和最佳实践方案，以帮助各位安全培训负责人用来对员工及合作伙伴们进行教育培训，提升信息安全能力。

培训课程很无聊吗？

在最糟糕的情况下，安全意识培训课程无聊地浪费时间，对员工（学员）来讲是如此，对IT负责人员（讲师）来讲也是如此。但是，在最佳的状态下，在理想的情况下，他们是可以互动的，以讨论为导向的，并且创造真正有益的机会，可以引发对安全问题的讨论、探索，并为更好的习惯打下坚实的基础。您该如何引导自己的培训课程更接近这种最佳的理想情况呢？下面我们列出了七个可以帮助您的简单提示。

一、保持培训活动的小型化

安全负责人通常不是乔布斯和雷布斯这种“科技大神”，也不是明星和网红。因此，请放弃那些在组织范围内发表鼓舞人心的主题演讲的梦想，反之，专注于提供针对特定用户组的小型会议。它们不仅易于管理，而且您可以自定义或精选安全意识材料以使其更加有针对性、关联性和目的性。

二、保持安全意识主题的专注

安全是一个大问题。不要试图一次覆盖太多知识点和内容，太多的内容往往使受众们吸收不了、消化不及，进而不知所措。相反，请特别强调与人们的日常工作最直接相关的特定安全策略或威胁。带着一个您将要讨论的主要问题或主题开始，然后进行一个清晰的总结或推进措施。

三、保持安全意识活动的简短

信息碎片化的时代，人们可以专心用于学习的时间短，而且除了学习之外，学员们还有其他工作要做。因此，需要注意人们的时间有限，要保持学习活动的简洁。避免出现超过15分钟的学习活动场面，并尽量避免陷入细节的讨论或弄乱大局的情况。会议结束后，您可以与有细节问题的个人进行一对一的跟进。

四、积极引导高管们的参与

安全意识培训不仅仅要针对普通员工。还应该设计一个专门用于高阶管理层的研讨会。毕竟，高管是鱼叉式网络钓鱼和其他网络攻击的最受欢迎的目标。如果他们持怀疑态度或认为自己太忙，请提醒他们，如果黑客获得了他们的身份凭据和访问权限，极有可能造成严重的损害。此外，还应借助高阶管理层的示范性和影响力，让高管们向员工们发起安全学习和行动的号召。

五、使安全意识活动变得可执行

与其提供一个充满“仅供参考”的安全意识活动，不如给员工们布置一项安全工作任务，让员工们积极地参加日常安全实践。无论是要求他们更改安全设置，还是完成对可疑电子消息的举报，让他们参与实际的执行操作，都会使安全意识信息更有可能被留存，进而成为日常安全习惯。

六、使安全意识训练成为常规活动

一年抽一天或一周举行一次的安全意识沟通会或者网络安全宣传周，不仅可能会导致需剩余的364天里（或者51周中）人们不去考虑信息安全问题，而且还会使人们误以为安全不是日常工作的重中之重。为防范这种情况，安排定期的培训课程可以缓解一次覆盖所有内容的压力，也可以让我们更深入地研究特定的相关主题并扩展安全意识课程的内容。

七、保持安全培训材料的不断更新

比无聊的培训课程更糟糕的是，让学员重复之前已经参加过的无聊的培训课程。如果您的资源实在有限，打算重新使用较早的培训课程资料，请确保更新统计数据，替换所有过时的安全范例以及测验、练习和作业。切记：使用更新的参考文献会使安全意识活动看上去是及时的而不是过时的。

善于寻求专业的帮助

以上是我们与您分享的提升安全意识宣教活动的几个小建议，希望能对安全意识培训负责人有所启发。提升员工们的网络安全与信息保密意识是一件长期而琐碎的艰巨工作，不仅需要坚持不懈的努力，也需要良好的沟通技巧和不断更新的沟通素材。昆明亭长朗然科技有限公司精心创作了大量的网络安全意识宣传培训作品，包括电子课件、动画教程和宣传图片，欢迎有兴趣、有需求的客户及合作伙伴联系我们，进行作品的预览和采购。