——如何提升组织信息安全意识

    世界头号黑客Kevin Mitnick曾说过一句话：“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”。由于缺少足够的信息安全意识，他们往往因为自己的便利而违反信息安全规章，也往往意识不到，因为自己的这种行为，会将其他同事乃至整个组织推向危险的境地。

    在很多看起来不起眼的细节上，都隐藏着对组织致命的安全隐患，让我们列举一组数字来说明：[数据来源：GooAnn发布的国内首份《中国企业员工信息安全意识调查报告（2010）》]

    1.58.6%的受访者半年以上更换一次密码，或者从不更换密码；

    2.仅有26.4%的人会定期给电脑做备份，不做备份和不定期做备份的比例共为73.6%；

    3.67.9%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的物品保管行为；

    4.如果遇到与工作无关但关系要好的同事要工作资料，94.4%的受访者会根据情况的不同，最终还是选择给同事；

    5.当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时，69%的人会看动画、下载动画、浏览网页或点击网页链接；

    6.面对内容吸引人的不明邮件，42.5%的受访者会看邮件内容；

    由此可见组织迫切需要提升全员的信息安全意识，对员工进行信息安全意识方面的教育，让员工建立起保护企业的责任感，才能够整体提高组织的信息安全水平。那么组织如何开展信息安全意识教育呢？本文将结合作者在信息安全咨询与培训多年的实践和经验进行探讨。

    首先，必须对意识的本质有清晰且深刻地认识，了解其形成的规律。意识是人们对事物的初期认识，在长期的锻炼学习中所获得的一种对事物的价值观与评价。意识的本质是客观对象的主观映象，是对客观存在的反映；是在长期工作和生活中，大脑自然产生的结论，会形成一种精神上的条件反射，因此要想形成这种条件反射，就需要经过一定的时间不断地进行刺激。信息安全意识属意识的一种，是人所特有的一种对信息安全现实的高级心理反映形式；也是人们在工作和生活中面对各种有可能对自己、企业和组织造成损失的外在环境条件的一种戒备和警觉的心理状态。由此可以总结出：意识的养成与传统的培训是不同的，意识是大脑自然形成的条件反射；要想建立起这种条件反射需要通过长期的、有效的刺激。举个例子，我们在过马路的时候都会下意识地左右张望，确认没有危险才会通过，而这种意识是如何形成的呢？小时候就被家长或老师告知过马路要小心，并且看到过别人被撞，或者自己亲身经历过被撞，体会到了发生事故的痛苦，并且我们每天都在经历过马路这个事情。信息安全意识的建立也是同理，只有认识到了这些，并针对意识形成过程的规律进行开展相关的意识教育工作，才能取得事半功倍的效果，反之则事倍功半，效果自然也不会好。

    其次，需要分析信息安全意识难以形成的原因，这样才能“对症下药”。我们对曾经服务过的客户做过分析，基本上可以总结为三类原因：第一类：确实不知道，可以用两句话来进一步解释，即为“不知者不怪”和“无知者无畏”。由于组织没有告诉员工应该怎样，所以才导致了员工的一些错误行为；也正是由于员工的不知道可能会导致什么后果，所以才敢这样做。第二类：知道但不重视或者忽视，这种现象在组织中非常普遍。所有人都知道应该怎么做，可是做了和不做没有什么区别，最终出于自己方面就不按照正确的方式做。第三类：存在侥幸心理，认为自己事情不会发生在自己头上。人们经常会有这种想法，我没有那么倒霉被轮上或被发现，正是基于此才导致了错误行为的发生。针对第一类，组织从员工与入职开始直至员工离职的整个过程中，都需要向员工不断地传递组织倡导、要求员工做什么，禁止怎么做，并且是通过有效的渠道来传递，以确保员工能正确的获取这些信息。针对第二类，组织要建立相应的信息安全奖惩制度，那种不痛不痒的奖惩措施形同虚设，具体的奖惩尺度要结合组织情况因地制宜，总之要对员工有所触动。就像之前酒驾屡禁不止，在2011年实施了酒驾新规之后，酒驾数量在全国范围内迅速大幅下降。针对第三类，可以分为两个方面，一方面要让员工知道由于缺乏安全意识采取了错误行为所导致的严重后果有哪些、有多严重，另一方面，就好像高速公路上的摄像头以及交通事故录像一样，可以通过技术手段配合以及现实案例来消除员工的侥幸心理。

 [page]   再次，要了解组织中不同人员的特点。实际上，组织内从管理层、到安全技术人员、再到所有普通员工都需要建立信息安全意识（关于这一点请参见《信息安全意识为先——提升组织信息安全意识的重要性》），但是由于这些人职责、技术能力等不同，对他们信息安全意识教育的侧重点也有所不同。对于普通员工，应侧重在组织安全策略和规定、基本安全操作技能、错误行为的不良后果、让其知晓信息安全人人有责等等；对于技术人员，应侧重在组织安全策略和规定、违反后要承担的后果、以及所在岗位的信息安全责任等等；对于管理人员，在普通员工的基础上应侧重在信息安全理念、安全组织与决策、安全架构与规划、风险管理意识、以身作则等方面。

    最后，应理解信息安全意识教育是系统的、广泛的、全面的、立体的，才能达到预期效果。即信息安全意识教育也是需要规划的，信息安全意识教育的形式要多样化。组织往往认为信息安全意识教育就是搞培训，但是单纯的、正统式的培训形式效果都不会很好，在我们最早为企业开展信息安全意识教育的事后就碰到了这问题，最常见的现象是上面老师在讲，下面员工在睡觉、手机上网、玩游戏……即便是培训也应是生动的才能给人留下深刻的印象，并且培训只是众多意识教育手段的一种。正是基于以上的对于信息安全意识的深刻理解，我们开发了“安全易视”系列产品，包括了信息安全手册、动画、手册、培训、辅助用品等等，可以总结为“安全意识”立方。

    有了丰富生动的信息安全意识教育产品，该如何应用到组织之中呢？对此，我们经过长期的实践和探索，总结了一套行之有效的实施方法，可以根据组织的特点和具体情况进行优化。

    1.在员工入职进行入职培训时向其发放信息安全手册，使其明确必要的知识以及企业的要求，即什么是企业所倡导的，什么是企业所禁止的；

    2.在办公室、走廊等公共场所张贴信息安全海报，使员工每天一走一过当中、抬头休息的时候就能看到，潜移默化地影响员工的意识行为。海报更换频率以周为宜，由于每天都频繁接触，时间长了之后员工就会失去兴趣；

    3.定期向员工发放或让其下载一或两个信息安全Flash动画来观看，视频动画对于员工是最有吸引力的，真正实现寓教于乐，但再好的东西也天天看也会失去兴趣，因此频率以半月为宜，这样可以让员工有所期盼；

    4.每月以邮件形式向员工发送信息安全电子报，可以包含本月已经投放过的海报、Flash动画来加强刺激，同时还可以包含信息安全事件新闻、案例分析、以及企业事件通报等内容；

    5.每个季度更新在企业大堂、宣传栏、工会活动地点等地的宣传板，使员工了解企业近期的信息安全活动，目的是使员工了解企业对于信息安全工作的态度是持之以恒，常抓不懈；

    6.如果企业和组织建立了内容部的e-learning系统，可以把信息安全在线课程内置到系统中，作为强制培训内容要求员工必须在规定时间内完成课程，但此类强制课程不易过多过频，以半年或一年一次为宜；

    7.企业和组织每年至少应组织一次全员的现场培训，一方面以交互性讨论的形式宣传信息安全知识，另一方面可以传达企业和组织对于信息安全的重视，以及一年之中企业和组织信息安全一些新的变化和要求；

    8.辅助用品，企业和组织可以根据具体情况决定是否投放，以及投放的时间和频率，如果企业每年都要制作这些东西，那么以信息安全意识推广为主题会是一个不错的选择。

    本文上面曾经阐述过，信息安全意识教育应该持之以恒，才能养成良好的信息安全习惯，进而才能保障组织的安全。在实践中我们发现，组织在进行信息安全建设时，会借助建设项目进行一次或几次培训，然后随着建设项目的结束，信息安全意识教育也就随之结束了。根据GooAnn发布的国内首份《中国企业员工信息安全意识调查报告（2010）》结果显示仅有15.8%的受访者会接受定期的信息安全培训，25.2%的受访者仅在入职时接受过信息安全培训，而48.9%的受访者从来没有接受过信息安全培训。因此我们认为提升全员的信息安全教育意识是一项长期的工作，不能指望凭借“三分钟热情”一蹴而就，而应该坚持不懈，才能最终在组织内建立起信息安全文化。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。