信息安全宣传画

1 / 32

信息安全意识培训每日一贴

00.

落实科学发展观，构建和谐组织。各类型的组织机构每天面临着大量的信息安全威胁，而且新的威胁也会不断出现，关于机密和敏感资料的信息安全意识培训的缺乏会让组织处于危险之中。所以，我们要开展信息安全重要性的广泛宣传，进而提高广大干部和群众的安全意识，确保实现可持续发展的宏伟目标。

01.信息安全对组织的成功越来越重要，有一些信息安全的基本信念，或称为普世价值，比如：及时更新系统，安装安全补丁，备份重要资料，启用安全保护功能，监控设备的健康状态，检查系统运行日志，发现和报告可疑事件……，组织需要像对待企业文化和商业行为守则一样，培训员工知晓它们。

2 / 32

02.组织的业务对计算机信息系统的依赖越来越强，互联的世界随之而来的是组织同其它机构的数据交换也越来越多，只有提供给使用这些数据的组织内及第三方人员充分的信息安全意识教育和培训，才能保证他们会用正确的方式使用计算机系统和关键数据，进而保障业务的安全持续运作。

3 / 32

03.提供给在职的员工信息安全意识培训，在整个组织推进信息安全文化建设，不仅可以展示组织关注员工职业发展的良好形象，还能起到吸引外来人才加入，以及减少人才流失的积极作用。

4 / 32

5 / 32

04.为了保护网络信息安全，不少的组织都部署了防火墙、

VPN 、防病毒、入侵检测与防御、安全审计、网络接入控制、防垃圾邮件、防数据泄漏等等系统。

这些都是很不错的安全控制技术，成熟的安全体系需要更多的是至上而下的管理，您的组织有制定信息安全方针策略和标准吗？有将这些信息安全策略推广和传递到适当的受众如员工、客户以及合作伙伴吗？这些受众的信息安全行为符合政策和标准的要求吗？

6 / 32

05.为了提高员工的工作效率，防止机密数据的外泄，不少组织部署了防火墙、上网行为管理、内容过滤与审计等系统，进而来规范员工的上网行为。

如果管控过于严厉苛刻，

容易招致员工的不满和引起翻墙越狱等行为，这样不但达不到控制的目标，往往还会适得其反；如果管控过于松懈，则可能打开安全缺口和漏洞，进而为组织带来更多安全隐患，以及造成网络及信息资源的滥用。

要合理有效地控制安全风险，组织需要将安全控管技术同员工信息安全意识培训有机地结合起来。

7 / 32

06.信息安全管理也需采取自上而下的方法，从业务战略层面看待信息安全是组织最高领导层的职责，

所以高层要对保护信息安全进行承诺、签署信息安全方针政策、委派管理层及员工相应的安全角色和职责、分配相关的信息安全培训资源，评审信息安全管理报告等。 信息安全是为了保障业务，所以安全控制要内置进业务的各个环节，员工的信息安全意识以及行为也要和员工所在部门以及个人的绩效考评挂钩。

8 / 32

07.信息安全文化的建设非一朝一夕可达成的，而是一个长期和艰巨的过程。

要从容应对新型的安全威胁，和保持员工的头脑刷新，组织需要定期，

至少每年进行一次全员的信息安全意识再培训。

平时也可利用一些特殊的日子如信息安全日进行宣传教育，组织内外部的安全事件、信息安全稽核结果也都可以用来作为培训课题和素材，邮件列表、张贴画、传单、互动视频、信息安全信箱及热线等都各种方式都可以用于随时提示全体员工。

08.信息安全管理，难免万无一失，当发生安全事件时，如何进行恰当的处理？组织的管理层及安全人员需要告知员工如何正确地识别、区分、报告和响应各类信息安全事件。

提供信息安全紧急事件响应的培训和演习，可以帮助组织更有效处理安全危机，进而减少安全事故可能带来的损失和保证业务的持续运行。

9 / 32

09.安全评估可以帮助组织发现安全状态，如内部的安全隐患和管理的不足之处等，相关的发现和建议用于进行及时的补救工作。

在信息安全管理方面，比较容易衡量的是技术和流程，但是往往组织最大的弱点是员工们薄弱的信息安全意识，所以，整体的安全评估也要加强员工信息安全意识和行为的衡量，将培训前后的衡量结果进行对比，也可以看出信息安全意识培训的改进成绩。

10 / 32

11 / 32

10.孙子曰：故经之以五事，校之以计而索其情：一曰道，二曰天，三曰地，四曰将，五曰法。道者，令民与上同意也，而不畏危。

让经理们和员工们认识到信息安全对组织和他们自己的成功的重要性，进而同心协力，

在业务流程和系统流程的各个环节中应用适当的安全措施，实现信息安全保障业务正常运作的目标便很容易轻而易举了。

让组织内外的所有人能够自发和自觉地用适当的方式来保护组织的信息资产，无疑是信息安全管理的最高境界。

11.新世代的员工们生活在MTV、电视、互联网、移动多媒体的热潮中，而上一辈们却是在图书都很匮乏的年代成长起来的，所以我们的信息安全课程培训也符合他们的一些特质和喜好。

在新员工的入职培训中，信息安全培训人员需要让比较粗糙乏味的课程变得生动活泼，可以播放一些视频，弄一些互动小游戏等等，以便信息安全理念更易被新世代的员工们所理解和接受。

12 / 32

12.组织的业务和员工分布于全国甚至全球的各地区，要让员工们及时了解到组织面临的最新的安全威胁，在第一时间掌握基本的安全应对措施，组织需要使用基于互联网或从企业内网的集中式“云计算”培训系统，进而可以高效地交付安全意识课程、并且及时跟踪和报告在线学习状态和进展情况。

13 / 32

13.与其心存侥幸，不如及早预防。

恶性信息安全事故的发生会对组织造成金钱和信誉的大量损失。

对员工进行早期的信息安全意识培训，是最有效减少安全事件造成的潜在损失的不二法宝。

14 / 32

15 / 32

14.“智能学习”，

“模糊推理”，“神经网络”，“自动校正”……听起来都很不错，然而不管多么厉害的系统，最终都还是要人来管理和使用。

所以组织在追求系统功能和性能的不断改进时，也要给系统的操作和维护人员相应的培训，以便他们的知识能够得到更新，进而能够安全地使用这些系统来完成他们的日常工作。