久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

(聯(lián)合電訊社/北京)--世界頭號(hào)黑客Kevin Mitnick曾說(shuō)過(guò)一句話：人是最薄弱的環(huán)節(jié)。你可能擁有最好的技術(shù)、防火墻、入侵檢測(cè)系統(tǒng)、生物鑒別設(shè)備，可只要有人給毫無(wú)戒心的員工打個(gè)電話……。由于缺少足夠的信息安全意識(shí)，他們往往因?yàn)樽约旱谋憷`反信息安全規(guī)章，也往往意識(shí)不到，因?yàn)樽约旱倪@種行為，會(huì)將其他同事乃至整個(gè)組織推向危險(xiǎn)的境地。

在很多看起來(lái)不起眼的細(xì)節(jié)上，都隱藏著對(duì)組織致命的安全隱患，讓我們列舉一組數(shù)字來(lái)說(shuō)明:[數(shù)據(jù)來(lái)源：GooAnn發(fā)布的國(guó)內(nèi)首份《中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告(2010)》]

• 58.6%的受訪者半年以上更換一次密碼，或者從不更換密碼;

• 僅有26.4%的人會(huì)定期給電腦做備份，不做備份和不定期做備份的比例共為73.6%;

• 67.9%的受訪者采取的是不鎖抽屜、不鎖抽屜鑰匙放在抽屜里和鎖抽屜但鑰匙放在桌上或筆筒等地方這些不安全的物品保管行為;

• 如果遇到與工作無(wú)關(guān)但關(guān)系要好的同事要工作資料，94.4%的受訪者會(huì)根據(jù)情況的不同，最終還是選擇給同事;

• 當(dāng)收到熟悉發(fā)件人發(fā)送的自動(dòng)播放flash動(dòng)畫或郵件內(nèi)部嵌入的網(wǎng)頁(yè)時(shí)，69%的人會(huì)看動(dòng)畫、下載動(dòng)畫、瀏覽網(wǎng)頁(yè)或點(diǎn)擊網(wǎng)頁(yè)鏈接;

• 面對(duì)內(nèi)容吸引人的不明郵件，42.5%的受訪者會(huì)看郵件內(nèi)容;

• ……

由此可見組織迫切需要提升全員的信息安全意識(shí)，對(duì)員工進(jìn)行信息安全意識(shí)方面的教育，讓員工建立起保護(hù)企業(yè)的責(zé)任感，才能夠整體提高組織的信息安全水平。那么組織如何開展信息安全意識(shí)教育呢?本文將結(jié)合作者在信息安全咨詢與培訓(xùn)多年的實(shí)踐和經(jīng)驗(yàn)進(jìn)行探討。

首先，必須對(duì)意識(shí)的本質(zhì)有清晰且深刻地認(rèn)識(shí)，了解其形成的規(guī)律。意識(shí)是人們對(duì)事物的初期認(rèn)識(shí)，在長(zhǎng)期的鍛煉學(xué)習(xí)中所獲得的一種對(duì)事物的價(jià)值觀與評(píng)價(jià)。意識(shí)的本質(zhì)是客觀對(duì)象的主觀映象，是對(duì)客觀存在的反映;是在長(zhǎng)期工作和生活中，大腦自然產(chǎn)生的結(jié)論，會(huì)形成一種精神上的條件反射，因此要想形成這種條件反射，就需要經(jīng)過(guò)一定的時(shí)間不斷地進(jìn)行刺激。信息安全意識(shí)屬意識(shí)的一種，是人所特有的一種對(duì)信息安全現(xiàn)實(shí)的高級(jí)心理反映形式;也是人們?cè)诠ぷ骱蜕钪忻鎸?duì)各種有可能對(duì)自己、企業(yè)和組織造成損失的外在環(huán)境條件的一種戒備和警覺的心理狀態(tài)。由此可以總結(jié)出：意識(shí)的養(yǎng)成與傳統(tǒng)的培訓(xùn)是不同的，意識(shí)是大腦自然形成的條件反射;要想建立起這種條件反射需要通過(guò)長(zhǎng)期的、有效的刺激。舉個(gè)例子，我們?cè)谶^(guò)馬路的時(shí)候都會(huì)下意識(shí)地左右張望，確認(rèn)沒有危險(xiǎn)才會(huì)通過(guò)，而這種意識(shí)是如何形成的呢?小時(shí)候就被家長(zhǎng)或老師告知過(guò)馬路要小心，并且看到過(guò)別人被撞，或者自己親身經(jīng)歷過(guò)被撞，體會(huì)到了發(fā)生事故的痛苦，并且我們每天都在經(jīng)歷過(guò)馬路這個(gè)事情。信息安全意識(shí)的建立也是同理，只有認(rèn)識(shí)到了這些，并針對(duì)意識(shí)形成過(guò)程的規(guī)律進(jìn)行開展相關(guān)的意識(shí)教育工作，才能取得事半功倍的效果，反之則事倍功半，效果自然也不會(huì)好。

其次，需要分析信息安全意識(shí)難以形成的原因，這樣才能對(duì)癥下藥。我們對(duì)曾經(jīng)服務(wù)過(guò)的客戶做過(guò)分析，基本上可以總結(jié)為三類原因：第一類：確實(shí)不知道，可以用兩句話來(lái)進(jìn)一步解釋，即為不知者不怪和無(wú)知者無(wú)畏。由于組織沒有告訴員工應(yīng)該怎樣，所以才導(dǎo)致了員工的一些錯(cuò)誤行為;也正是由于員工的不知道可能會(huì)導(dǎo)致什么后果，所以才敢這樣做。第二類：知道但不重視或者忽視，這種現(xiàn)象在組織中非常普遍。所有人都知道應(yīng)該怎么做，可是做了和不做沒有什么區(qū)別，最終出于自己方面就不按照正確的方式做。第三類：存在僥幸心理，認(rèn)為自己事情不會(huì)發(fā)生在自己頭上。人們經(jīng)常會(huì)有這種想法，我沒有那么倒霉被輪上或被發(fā)現(xiàn)，正是基于此才導(dǎo)致了錯(cuò)誤行為的發(fā)生。針對(duì)第一類，組織從員工與入職開始直至員工離職的整個(gè)過(guò)程中，都需要向員工不斷地傳遞組織倡導(dǎo)、要求員工做什么，禁止怎么做，并且是通過(guò)有效的渠道來(lái)傳遞，以確保員工能正確的獲取這些信息。針對(duì)第二類，組織要建立相應(yīng)的信息安全獎(jiǎng)懲制度，那種不痛不癢的獎(jiǎng)懲措施形同虛設(shè)，具體的獎(jiǎng)懲尺度要結(jié)合組織情況因地制宜，總之要對(duì)員工有所觸動(dòng)。就像之前酒駕屢禁不止，在2011年實(shí)施了酒駕新規(guī)之后，酒駕數(shù)量在全國(guó)范圍內(nèi)迅速大幅下降。針對(duì)第三類，可以分為兩個(gè)方面，一方面要讓員工知道由于缺乏安全意識(shí)采取了錯(cuò)誤行為所導(dǎo)致的嚴(yán)重后果有哪些、有多嚴(yán)重，另一方面，就好像高速公路上的攝像頭以及交通事故錄像一樣，可以通過(guò)技術(shù)手段配合以及現(xiàn)實(shí)案例來(lái)消除員工的僥幸心理。

再次，要了解組織中不同人員的特點(diǎn)。實(shí)際上，組織內(nèi)從管理層、到安全技術(shù)人員、再到所有普通員工都需要建立信息安全意識(shí)(關(guān)于這一點(diǎn)請(qǐng)參見《信息安全意識(shí)為先——提升組織信息安全意識(shí)的重要性》)，但是由于這些人職責(zé)、技術(shù)能力等不同，對(duì)他們信息安全意識(shí)教育的側(cè)重點(diǎn)也有所不同。對(duì)于普通員工，應(yīng)側(cè)重在組織安全策略和規(guī)定、基本安全操作技能、錯(cuò)誤行為的不良后果、讓其知曉信息安全人人有責(zé)等等;對(duì)于技術(shù)人員，應(yīng)側(cè)重在組織安全策略和規(guī)定、違反后要承擔(dān)的后果、以及所在崗位的信息安全責(zé)任等等;對(duì)于管理人員，在普通員工的基礎(chǔ)上應(yīng)側(cè)重在信息安全理念、安全組織與決策、安全架構(gòu)與規(guī)劃、風(fēng)險(xiǎn)管理意識(shí)、以身作則等方面。

最后，應(yīng)理解信息安全意識(shí)教育是系統(tǒng)的、廣泛的、全面的、立體的，才能達(dá)到預(yù)期效果。即信息安全意識(shí)教育也是需要規(guī)劃的，信息安全意識(shí)教育的形式要多樣化。組織往往認(rèn)為信息安全意識(shí)教育就是搞培訓(xùn)，但是單純的、正統(tǒng)式的培訓(xùn)形式效果都不會(huì)很好，在我們最早為企業(yè)開展信息安全意識(shí)教育的事后就碰到了這問題，最常見的現(xiàn)象是上面老師在講，下面員工在睡覺、手機(jī)上網(wǎng)、玩游戲……。即便是培訓(xùn)也應(yīng)是生動(dòng)的才能給人留下深刻的印象，并且培訓(xùn)只是眾多意識(shí)教育手段的一種。正是基于以上的對(duì)于信息安全意識(shí)的深刻理解，我們開發(fā)了安全易視系列產(chǎn)品，包括了信息安全手冊(cè)、動(dòng)畫、手冊(cè)、培訓(xùn)、輔助用品等等，可以總結(jié)為安全意識(shí)立方。

有了豐富生動(dòng)的信息安全意識(shí)教育產(chǎn)品，該如何應(yīng)用到組織之中呢?對(duì)此，我們經(jīng)過(guò)長(zhǎng)期的實(shí)踐和探索，總結(jié)了一套行之有效的實(shí)施方法，可以根據(jù)組織的特點(diǎn)和具體情況進(jìn)行優(yōu)化。

• 在員工入職進(jìn)行入職培訓(xùn)時(shí)向其發(fā)放信息安全手冊(cè)，使其明確必要的知識(shí)以及企業(yè)的要求，即什么是企業(yè)所倡導(dǎo)的，什么是企業(yè)所禁止的;

• 在辦公室、走廊等公共場(chǎng)所張貼信息安全海報(bào)，使員工每天一走一過(guò)當(dāng)中、抬頭休息的時(shí)候就能看到，潛移默化地影響員工的意識(shí)行為。海報(bào)更換頻率以周為宜，由于每天都頻繁接觸，時(shí)間長(zhǎng)了之后員工就會(huì)失去興趣;

• 定期向員工發(fā)放或讓其下載一或兩個(gè)信息安全Flash動(dòng)畫來(lái)觀看，視頻動(dòng)畫對(duì)于員工是最有吸引力的，真正實(shí)現(xiàn)寓教于樂，但再好的東西也天天看也會(huì)失去興趣，因此頻率以半月為宜，這樣可以讓員工有所期盼;

• 每月以郵件形式向員工發(fā)送信息安全電子報(bào)，可以包含本月已經(jīng)投放過(guò)的海報(bào)、Flash動(dòng)畫來(lái)加強(qiáng)刺激，同時(shí)還可以包含信息安全事件新聞、案例分析、以及企業(yè)事件通報(bào)等內(nèi)容;

• 每個(gè)季度更新在企業(yè)大堂、宣傳欄、工會(huì)活動(dòng)地點(diǎn)等地的宣傳板，使員工了解企業(yè)近期的信息安全活動(dòng)，目的是使員工了解企業(yè)對(duì)于信息安全工作的態(tài)度是持之以恒，常抓不懈;

• 如果企業(yè)和組織建立了內(nèi)容部的e-learning系統(tǒng)，可以把信息安全在線課程內(nèi)置到系統(tǒng)中，作為強(qiáng)制培訓(xùn)內(nèi)容要求員工必須在規(guī)定時(shí)間內(nèi)完成課程，但此類強(qiáng)制課程不易過(guò)多過(guò)頻，以半年或一年一次為宜;

• 企業(yè)和組織每年至少應(yīng)組織一次全員的現(xiàn)場(chǎng)培訓(xùn)，一方面以交互性討論的形式宣傳信息安全知識(shí)，另一方面可以傳達(dá)企業(yè)和組織對(duì)于信息安全的重視，以及一年之中企業(yè)和組織信息安全一些新的變化和要求;

• 輔助用品，企業(yè)和組織可以根據(jù)具體情況決定是否投放，以及投放的時(shí)間和頻率，如果企業(yè)每年都要制作這些東西，那么以信息安全意識(shí)推廣為主題會(huì)是一個(gè)不錯(cuò)的選擇。

本文上面曾經(jīng)闡述過(guò)，信息安全意識(shí)教育應(yīng)該持之以恒，才能養(yǎng)成良好的信息安全習(xí)慣，進(jìn)而才能保障組織的安全。在實(shí)踐中我們發(fā)現(xiàn)，組織在進(jìn)行信息安全建設(shè)時(shí)，會(huì)借助建設(shè)項(xiàng)目進(jìn)行一次或幾次培訓(xùn)，然后隨著建設(shè)項(xiàng)目的結(jié)束，信息安全意識(shí)教育也就隨之結(jié)束了。根據(jù)GooAnn發(fā)布的國(guó)內(nèi)首份《中國(guó)企業(yè)員工信息安全意識(shí)調(diào)查報(bào)告(2010)》結(jié)果顯示僅有15.8%的受訪者會(huì)接受定期的信息安全培訓(xùn)，25.2%的受訪者僅在入職時(shí)接受過(guò)信息安全培訓(xùn)，而48.9%的受訪者從來(lái)沒有接受過(guò)信息安全培訓(xùn)。因此我們認(rèn)為提升全員的信息安全教育意識(shí)是一項(xiàng)長(zhǎng)期的工作，不能指望憑借三分鐘熱情一蹴而就，而應(yīng)該堅(jiān)持不懈，才能最終在組織內(nèi)建立起信息安全文化。(谷安天下 劉敬國(guó))