信息安全海报

信息安全视频点播中心 | Information Security Video Ondemand Center

信息安全海报授权

00.

落实科学发展观，构建和谐组织。各类型的组织机构每天面临着大量的信息安全威胁，而且新的威胁也会不断出现，关于机密和敏感资料的信息安全意识培训的缺乏会让组织处于危险之中。所以，我们要开展信息安全重要性的广泛宣传，进而提高广大干部和群众的安全意识，确保实现可持续发展的宏伟目标。

1 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

01.信息安全对组织的成功越来越重要，有一些信息安全的基本信念，或称为普世价值，比如：及时更新系统，安装安全补丁，备份重要资料，启用安全保护功能，监控设备的健康状态，检查系统运行日志，发现和报告可疑事件„„，组织需要像对待企业文化和商业行为守则一样，培训员工知晓它们。

2 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

02.组织的业务对计算机信息系统的依赖越来越强，互联的世界随之而来的是组织同其它机构的数据交换也越来越多，只有提供给使用这些数据的组织内及第三方人员充分的信息安全意识教育和培训，才能保证他们会用正确的方式使用计算机系统和关键数据，进而保障业务的安全持续运作。

3 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

03.提供给在职的员工信息安全意识培训，在整个组织推进信息安全文化建设，不仅可以展示组织关注员工职业发展的良好形象，还能起到吸引外来人才加入，以及减少人才流失的积极作用。

4 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

04.为了保护网络信息安全，不少的组织都部署了防火墙、VPN

、防病毒、入侵检测与防御、安全审计、网络接入控制、防垃圾邮件、防数据泄漏等等系统。

这些都是很不错的安全控制技术，成熟的安全体系需要更多的是至上而下的管理，您的组织有制定信息安全方针策略和标准吗？有将这些信息安全策略推广和传递到适当的受众如员工、客户以及合作伙伴吗？这些受众的信息安全行为符合政策和标准的要求吗？

5 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

05.为了提高员工的工作效率，防止机密数据的外泄，不少组织部署了防火墙、上网行为管理、内容过滤与审计等系统，进而来规范员工的上网行为。

如果管控过于严厉苛刻，

容易招致员工的不满和引起翻墙越狱等行为，这样不但达不到控制的目标，往往还会适得其反；如果管控过于松懈，则可能打开安全缺口和漏洞，进而为组织带来更多安全隐患，以及造成网络及信息资源的滥用。

要合理有效地控制安全风险，组织需要将安全控管技术同员工信息安全意识培训有机地结合起来。

6 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

06.信息安全管理也需采取自上而下的方法，从业务战略层面看待信息安全是组织最高领导层的职责，所以高层要对保护信息安全进行承诺、

签署信息安全方针政策、委派管理层及员工相应的安全角色和职责、分配相关的信息安全培训资源，评审信息安全管理报告等。 信息安全是为了保障业务，所以安全控制要内置进业务的各个环节，员工的信息安全意识以及行为也要和员工所在部门以及个人的绩效考评挂钩。

7 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

07.信息安全文化的建设非一朝一夕可达成的，而是一个长期和艰巨的过程。

要从容应对新型的安全威胁，和保持员工的头脑刷新，组织需要定期，

至少每年进行一次全员的信息安全意识再培训。

平时也可利用一些特殊的日子如信息安全日进行宣传教育，组织内外部的安全事件、信息安全稽核结果也都可以用来作为培训课题和素材，邮件列表、张贴画、传单、互动视频、信息安全信箱及热线等都各种方式都可以用于随时提示全体员工。

8 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

08.信息安全管理，难免万无一失，当发生安全事件时，如何进行恰当的处理？组织的管理层及安全人员需要告知员工如何正确地识别、区分、报告和响应各类信息安全事件。

提供信息安全紧急事件响应的培训和演习，可以帮助组织更有效处理安全危机，进而减少安全事故可能带来的损失和保证业务的持续运行。

9 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

09.安全评估可以帮助组织发现安全状态，如内部的安全隐患和管理的不足之处等，相关的发现和建议用于进行及时的补救工作。

在信息安全管理方面，比较容易衡量的是技术和流程，但是往往组织最大的弱点是员工们薄弱的信息安全意识，所以，整体的安全评估也要加强员工信息安全意识和行为的衡量，将培训前后的衡量结果进行对比，也可以看出信息安全意识培训的改进成绩。

10 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

10.孙子曰：故经之以五事，校之以计而索其情：一曰道，二曰天，三曰地，四曰将，五曰法。道者，令民与上同意也，而不畏危。

让经理们和员工们认识到信息安全对组织和他们自己的成功的重要性，进而同心协力，

在业务流程和系统流程的各个环节中应用适当的安全措施，实现信息安全保障业务正常运作的目标便很容易轻而易举了。

让组织内外的所有人能够自发和自觉地用适当的方式来保护组织的信息资产，无疑是信息安全管理的最高境界。

11 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

11. 和在图书都很匮乏的年代成长起来的老一辈相比，新世代的员工们生活在MTV、电视、互联网、移动多媒体的热潮中，所以信息安全课程培训要符合他们的一些特质和喜好。

在新员工的入职培训中，信息安全培训人员需要让比较粗糙乏味的课程变得生动活泼，可以播放一些视频，弄一些互动小游戏等等，以便信息安全理念更易被新世代的员工们所理解和接受。

12 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

12. 组织的业务和员工分布于全国甚至全球的各地区，要让员工们及时了解到组织面临的最新的安全威胁，在第一时间掌握基本的安全应对措施，组织需要使用基于互联网或企业内网的集中式“云计算”培训系统，进而可以高效地交付安全意识课程、并且及时跟踪和报告在线学习状态和进展情况。

13 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

13.与其心存侥幸，不如及早预防。

恶性信息安全事故的发生会对组织造成金钱和信誉的大量损失。

对员工进行早期的信息安全意识培训，是最有效减少安全事件造成的潜在损失的不二法宝。

14 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

14.“智能学习”，“模糊推理”

，“神经网络”，“自动校正”„„听起来都很不错，然而不管多么厉害的系统，最终都还是要人来管理和使用。

所以组织在追求系统功能和性能的不断改进时，也要给系统的操作和维护人员相应的培训，以便他们的知识能够得到更新，进而能够安全地使用这些系统来完成他们的日常工作。

15 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

15.亡羊补牢，不如未雨绸缪；信息安全，重在防患未然。

组织往往在吸取了足够的教训之后才开始重视到信息安全建设，然而组织因为这些教训而付出的代价太昂贵了。

防火的意义远远高于救火、灭火。

及早进行信息安全意识教育，比安全事故发生后的响应更为重要。

16 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

16.组织机密数据的泄露将影响到企业的信誉和招致严重的经济损失。

社交网络的便利和无孔不入，使得员工可能在无经意之间泄露组织的机密信息。

而在安全意识培训上的投资，无疑是为组织买了份防泄密的意外保险。

17 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

17.

除了通过在线培训加强员工的安全防范意识之外，安全培训教育服务也要考虑提供给众多的外部供应商和用户。

外部用户的信息安全基础良莠不齐，组织需特别定制生动有趣且浅显易懂的互动教学课程，使用户在使用组织的信息服务时，可以方便地通过互动课程，了解如何恰当保护好自己的安全。

18 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

18.安全心理、安全理念、安全思想、安全行为、安全文化？从安全意识培训开始！培养员

工们良好的信息行为习惯，当员工们认真地而不是轻率地、长久地而不是临时地、主动地而不是被动地把信息安全作为一项自觉自愿、自省自悟的行为时，组织的业务成功就有了坚实的安全保障。

19 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

19.员工不能正确识别出工作中的重要机密数据，或者不知道如何保护机密信息，进而泄漏组织机密的案例比比皆是。

组织的管理层需要担当职责，向他们灌输信息安全意识认知，制定机密信息的标识标准和保护级别。

20 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

20.提升信息安全水平，如何才是短平快？要想投资少、周期短、见效快、效益高，当然是进行信息安全意识培训啦！但是要注意信息安全不是搞运动，玩一把，折腾一下就丢掉不管

了。

尽管短期内通过信息安全意识教育可以大幅提升信息安全水平，但短期的做法也只能取得短期的效果，安全文化建设是个长期的过程，组织需要在保障业务安全的战略需求下持续不断地进行信息安全意识的再教育。

21 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

21.安全控制技术和管理措施可以外包给专业的服务机构和人员，以节省成本和提升效率。

但是组织的业务安全仍旧依赖着全体员工，非安全职业的经理和职员们关注的更多的是自身的工作任务，而非安全管理，所以要给他们足够的信息安全培训，让他们认同组织信息安全的整体目标，和担负起各自适当的职责。

22 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

22.出差在外异地办公、居家远程办公等方式越来越流行。

在办公室之外时，这些员工和电脑不在组织内部网络基础架构的保护之下。

但他们的远程工作，却和组织的成功息息相关。

为确保这部分员工和电脑终端的安全，组织需特意设置一个安全专题：加强差旅安全、安全远程接入、互联网安全和家庭上网安全等方面的意识培训。

23 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

23.在年轻人较多的大型工厂里，要适合年轻人流动性大、文化水平参差不齐的情况，需要

通俗易懂、生动有趣的安全意识宣传教育片，可以组织员工搞些互动的主题活动，并且拿出一些奖励，让好玩儿好动的新世代员工们积极参与自编自演一些节目，从而使信息安全意识更易被接受。

24 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

24.组织的信息安全管理的方针政策往往比较简练，通过张贴宣传画，发放安全手册等手段可以进行促进和推广。

吸引起员工的广泛兴趣，还需要进行适当的策划，组织可以拍摄些多媒体小电影，搞些视频动画，制作些在线小游戏，使用答题有奖类的互动节目，甚至可以让员工自拍自演一些活动！

25 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

25.信息安全保障工作是一个商业流程，而非一项产品或技术，所以在选择使用厂商的产品或服务时，别忘了提出对系统的使用、操作和维护人员的技能培训需求，也这样会让厂商觉得您很专业。

26 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

26.对重点和高危员工群，组织可以使用多种培训方式交叉并用，重在课堂上面对面讲解和互动。

对所有员工，组织可以使用在线电子学习，这种有区分地对待方式，不但可以节省成本，而且可以不用受时间和地点的限制。

27 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

27.事故发生后，组织应该问问：造成服务意外中断的根本原因是什么？系统故障引起的业务受损只占很小的部分，而大部分则是人为原因。

所以业务成功中信息“安全人”的因素至关重要，包括安全认知和安全行为，都需要适当的安全意识培训才能得以提升和规范。

28 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

28.承载着关键业务流程和重要数据的信息系统被员工给破坏了，员工辩称不是有意而为的，还说组织没有规定不能那样做，这显示出组织对员工信息安全教育的不足。

组织应该在劳动合同的附件中明确签订员工的信息安全职责，新员工培训内容也含有信息安全课程。

29 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

29.

三分技术、七分管理。

信息技术往往偏重使用技术控制手段，然而管理手段效果会更好。

最常用管理手段是普及信息安全知识培训，提高员工安全意识认知，使他们具备基本的安全防范意识，以及发现并解决常见安全事件的能力。

30 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

30.真理是朴素的，改善信息安全，不能靠故弄玄虚地搞些惊人的口号和标语来吸引人们对信息安全的重视，相反，组织应该考虑浅显易懂的、易被大众理解、认同和接受的信息安全意识教育方式。

31 / 32

信息安全视频点播中心 | Information Security Video Ondemand Center

31.组织应该聘请外部稽核人员或审计师对信息安全进行独立的审核，以便组织了解自身的信息安全管理状态和业界最佳实践标准之间的差距！如果员工们的整体安全意识比较薄弱，信息安全管理委员会和人力资源培训人员需要马上采取适当的行动，进行信息安全意识培训需求的搜集、分析，进而制定适当的培训计划，培训交付和绩效测量。

32 / 32