公司是否应该花钱对员工们进行安全意识培训呢？在信息安全业界，尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性，但是仍然不时有极个别的反对声音，认为对最终用户进行安全培训是在浪费时间，而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先，我们谈一件安全投资是否有必要，得有一个预期的收益，也需拿出可以进行衡量的可行性标准，并据此测量安全投入是否达到了最初的设想目标，即所谓的安全投资回报ROI。不过，在广泛的计算机网络信息安全领域，尚无可以借鉴的广为接受的投资回报算法，因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域，有些计算公式，类似风险=漏洞*威胁*影响*概率之类的公式，不过这些也只是停在安全理论层面，根本不能被最佳信息安全实践操作所理会和采纳，所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此，否定对员工们进行安全意识培训的必要性，明显是站不住脚的，就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次，对安全意识培训持反对意见者可能会质疑安全意识培训的成效，的确安全意识培训不像安装配置企业防火墙一样，设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员，而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者，简直就如同在地上画个圈，让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任，信息安全意识培训本身只是一种安全理念和技能的沟通方式，即使主动发布信息的一方，通常是安全意识培训讲师发出了正确的安全讯息，安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败，而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙，规则配置上却缺乏适当的安全策略标准指引，或者防火墙管理员偷懒，随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效，比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况，通常经过培训之后员工们对信息安全的认知都会有所提升。

再者，安全意识培训的反对者会认为安全意识很难影响安全行为，的确，人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说：几乎所有的城镇人口都会从小就被教育遵守交通规则，但是仍然随处可见闯红灯和穿越马路的情景，我们能否认说交通安全意识教育不能改变交通安全行为么？当然不能，违反交通安全规则的自有他们的“道理”，比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是，这些人在违反交通安全规则的时候，多数知道自己的行为是在违反，假想我们不教育人们遵守安全交规，那世界会混乱成什么样子？要让安全意识和安全行为有效关联起来，需要的是激励措施，奖励积极向上的安全行为，处罚恶劣的不安全行为，自然而然便能建立起“知行合一”的安全合规文化，但看新交规实施以来的威慑作用便知一二。

最后，安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果，说这些的往往是些急于推销安全技术产品的厂商，我们不排除很多安全问题可以通过形形色色的技术控管方式来解决，比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用，它们要发挥效用的最大假设前提是人们的理解和支持，不通过安全意识培训，如何获得理解和支持呢？此外，老人们常说“淹死的人通常都是会游泳的”，不屑于安全意识提升的技术专家们，冒险精神可嘉，但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。

相对于治理体系比较完善的跨国公司，多数国内公司在安全治理和管理方面比较混沌和混乱。俗话说：治乱世用重典。

负责公司信息安全的高管要想有所作为，必须严肃安全纪律，但是员工们又不是机器，管制太严可能引发消极对抗，管制太松又改变不了安全问题严重的现状。

说到底，多数信息安全问题不是技术控管措施所能有效解决的，要保障公司的信息安全最重要的是解决和人员相关的问题。

如同完善的公司治理一样，信息安全治理也需要“有法可依”，大的社会环境正从“人治”不断转向“法治”，公司要长治久安，保持业务持续性，也需从信息安全制度体系建设上入手。

而要依赖制度体系进行有效的信息安全运作，则需开发各级安全文档，高手高层的安全方针政策、相关的安全标准要求和以及最终用户可以参照的安全流程和操作指南。

为了让信息安全规章制度能够真正落实，防止“有法不依”的现象，需要在制定安全规章制度时认真考虑“人员”的因素，毕竟，实施或应用安全流程的是“人员”，安全流程也只有经过“人员”的参与操作之后才能达到其特定的安全控管目标。

不要让信息安全相关规章流程成为审计检查之后的一纸废纸，则需要强化流程与人员之间的互动，为安全策略和流程找一个负责人，或称所有者，通常是部门的主管或经理，负责维护流程的更新。而部门成员则可能是该安全策略或安全流程的遵循者，只需照章办事。信息安全管理部门可能也需要创建和维护整个公司范围内通用的，以及部门内部所有的信息安全相关策略和流程，并且需要协调监管其它各业务单元和部门的安全作业流程和安全操作指南。

理顺了信息安全部门人员及各部门安全工作流程负责人之间的关系之后，则需强化人员之间的沟通协调，这其中重要的是安全观念的推广。安全管理负责人要制定详细的安全意识沟通计划，包括对全体员工定期提供通用的信息安全意识培训，以及协助重点部门和人员进行的基于角色类的安全培训，比如对于管理层，可能需要了解更多信息安全相关的职责，就需要特别的管理层安全意识培训，毕竟各部门的经理主管们除了保障自身的信息安全之外，还要担当整个所辖部门的安全管理责任。而特别的部门，如保安部和IT部等等，则会根据工作实际需要，获得与职位和工作相关的必须安全培训。

可以通过必要的安全考试来测量员工们对信息安全基础知识和相关作业流程的掌握情况，昆明亭长朗然科技有限公司的信息安全顾问Bob Xue称：唯有员工们掌握了必要的安全知识和技能之后，安全策略和流程方可被有真正理解，安全规章制度才能行之有效，安全治理工作也会随之顺利开启。

有了好的开端要再接再励，要让员工们接受这些安全方针管理和标准化操作要求，一方面，要强化审核，通过查看工作记录、审计系统日志、以及随机抽查检测，等等方法可以了解实施情况；另一方面，也需要进行必要的激励措施，人是追逐利益的，给为信息安全建设工作有杰出贡献的员工以必要的奖励，适当惩罚违反安全规章制度的行为，会让员工们在面临安全选择之时趋向正确的决定。

最后，信息安全治理也需要充分利用“人员”，创建员工们互相监督，互相提醒的安全气氛，让坏人无处藏身，让不安全念头灭在萌芽，让安全风气得到端正，进而让不安全行为不得发生。