1. 员工的信息安全意识如何提高
提升全员信息安全意识工作应持之以恒!其中各种形式的培训是目前企业采用的一专个主要方式,但是属在实践中发现,企业和组织在进行信息安全建设时,会借助建设项目进行一次或几次培训,然后随着建设项目的结束,信息安全意识教育也就随之结束了。根据谷安天下(GooAnn)发布的国内首份《中国企业员工信息安全意识调查报告(2010)》结果显示仅有15.8%的受访者会接受定期的信息安全培训,25.2%的受访者仅在入职时接受过信息安全培训,而48.9%的受访者从来没有接受过信息安全培训。GooAnn认为提升全员的信息安全教育意识是一项长期的工作,不能指望凭借“三分钟热情”一蹴而就,而应该坚持不懈,才能最终在企业和组织内建立起信息安全文化。同时,除了采用信息安全培训这种方式,还需要应用切合企业信息安全管理工作实际需求的信息安全意识产品,例如信息安全动画、手册、海报等等。
2. 如何提高员工的信息安全意识
国家网络安全宣传周即将于本月19日开启,随着互联网和信息系统的普及,越来越多的企业认识到员工信息安全意识的重要性,开始开展员工的信息安全意识宣传教育活动,并将其作为每年信息安全工作中的一项必要工作,常年坚持下去。
作为国内首家开展员工信息安全意识培养工作研究与实践的机构,安全牛结合多年来在相关项目实施中积累的经验,总结了员工信息安全意识培养工作的几大误区,并给出了相应的解决办法,以期对即将开展此项工作的企业有所帮助,同时也供已开展这项工作的企业参考。
技巧一: 在不影响正常工作的前提下,合理利用员工碎片化时间进行宣贯工作
企业内部IT或信息安全部门,在企业内部开展员工信息安全意识宣教工作时,员工往往会觉得:一定又要耽误很多工作时间来配合。如果这项工作在开展初期就让员工产生这样的想法,那基本上已经算是失败了。
由此可见,开展这项工作时,利用员工的碎片化时间非常重要。那么,哪些是员工的碎片化时间呢?上下班地铁、公交车上;等待和上下电梯时;走路经过办公楼大厅或走廊时;工作开始前电脑开机时等。这些都是能够被利用起来,开展信息安全意识宣传教育工作的碎片化时间。
技巧二:注重与员工工作、生活息息相关的信息安全知识点
我们在前接触国内较早开展员工信息安全意识教育工作的企业时,有个很深的感受是,不少企业在选择向员工推送的知识点时,只会选择和员工工作相关的内容,而生活方面的知识则被全部排除在外。
但随着安全意识宣教工作的不断推进,尤其是在加入与员工生活相关的信息安全知识点后,我们发现员工对信息安全宣教工作关注度反而有所提高。员工对生活相关内容的关注,反而更容易拉近信息安全宣教工作本身与员工之间的距离。
并且如果员工能在生活中养成良好的信息安全意识和行为习惯,那么这些好的意识与习惯也会被带到工作中来。
技巧三:选择不易引起员工反感的宣传教育形式
选择了恰当的时间和员工更关注的知识点,接下来要确定的就是采用什么样的形式。基本原则就是,采用不易引起员工反感的形式。员工普遍不喜欢被动的强制教育,例如组织一场培训后强制考试。那么在开展宣教工作的时候,就一定要避免这一点。
在某些办公场所展示信息安全宣教内容,例如会议室、茶水间、打印房等,张贴相关提示的海报,开会前后或者中场休息的间隙,播放信息安全意识的宣传教育短片,这些都是不易引起员工反感,润物细无声的宣教方式。
技巧四:新颖的表现形式,引起员工注意力
如何将信息安全知识更好地呈现给员工,是尤其需要注意并且花心思的事情。如果将内容白纸黑纸的直接呈现在员工面前,那基本上就可以不用期待多高关注度了。普通员工绝大部分不是做IT或者信息安全的,因此“将知识本身转换成为员工能懂的语言”这一点至关重要。同时还要以员工更易接受的形式输出,例如赏心悦目的海报、生动幽默的动画片、震撼冲击力强的教育宣传片,或者随时可翻阅的手机图片等,都是不错的选择。
技巧五:短期与长期计划相结合
选择好了宣教的对象、知识点和内容及其表现形式,接下来就需要制定实际适合企业的信息安全意识宣教计划。一般建议企业先制定一个长期计划和目标,再将长期计划分解成具体、可执行的短期计划。例如,制定一份员工信息安全意识宣教的3年计划,通过每年连续举办信息安全宣传周来实现;另外,除了每年信息安全宣传周的其它时间,则可以每月通过邮件或手机微信等方式,向员工推送信息安全期刊等宣教材料。
技巧六:宣教工作需要长期坚持
长期开展员工的信息安全意识宣传教育工作的关键,与其说在于技巧,不如说是在于坚持。任何意识的培养,都是一个长期且复杂的过程,就像人身和交通安全的意识培养,信息安全意识的宣教也需要持续不断进行下去。
3. 如何提供完整的信息安全意识宣传的方案
信息安全意识宣传可以从以下几个方面入手:海报、展板、电脑屏保,有条件的还可以专制作信息安全相关的属台历、鼠标垫并举办信息安全比赛等。信息安全意识宣传主要是通过重复不断的传输起到警钟长鸣的效果,从而让信息安全意识融入到生活中。
安言咨询有专门做信息安全意识宣传的团队,你可以致电询问。
4. 企业员工信息安全意识培训问题如何解决
传统的信息安全意识培训费用高,人员难以组织。如果没有选对培训机构,效果更是大打折扣。建议信息安全意识培训问题应该多元化进行,采取风趣幽默的培训方式,潜移默化的影响员工的行为。建议去看看谷安天下的网站去看看,他们有专门的信息安全意识网站,在业界也是第一家来研究员工信息安全意识培养问题的专业机构。做的挺好的,案例也很丰富,强烈建议你去看看。
5. 信息安全意识培养工作如何进行
信息安全教育意识是一项长期的工作,不能指望凭借“三分钟热情”一蹴而就,而应该坚持不懈,才能最终在企业和组织内建立起信息安全文化。
同时应该采用一些轻松、幽默的方式将信息安全意识知识传递给员工。谷安天下是专业的信息安全公司,他们那里就有针对员工信息安全意识培养的整套解决方案,包括生动有趣的动画,手册,海报等。你可以去他们的网站看看。
6. 如何提升员工信息安全意识
提升员工信息安全意识的技巧:
技巧一: 在不影响正常工作的前提下,合理利用员工碎片化时间进行宣贯工作
企业内部IT或信息安全部门,在企业内部开展员工信息安全意识宣教工作时,员工往往会觉得:一定又要耽误很多工作时间来配合。如果这项工作在开展初期就让员工产生这样的想法,那基本上已经算是失败了。
由此可见,开展这项工作时,利用员工的碎片化时间非常重要。那么,哪些是员工的碎片化时间呢?上下班地铁、公交车上;等待和上下电梯时;走路经过办公楼大厅或走廊时;工作开始前电脑开机时等。这些都是能够被利用起来,开展信息安全意识宣传教育工作的碎片化时间。
技巧二:注重与员工工作、生活息息相关的信息安全知识点
我们在前接触国内较早开展员工信息安全意识教育工作的企业时,有个很深的感受是,不少企业在选择向员工推送的知识点时,只会选择和员工工作相关的内容,而生活方面的知识则被全部排除在外。
但随着安全意识宣教工作的不断推进,尤其是在加入与员工生活相关的信息安全知识点后,我们发现员工对信息安全宣教工作关注度反而有所提高。员工对生活相关内容的关注,反而更容易拉近信息安全宣教工作本身与员工之间的距离。
并且如果员工能在生活中养成良好的信息安全意识和行为习惯,那么这些好的意识与习惯也会被带到工作中来。
技巧三:选择不易引起员工反感的宣传教育形式
选择了恰当的时间和员工更关注的知识点,接下来要确定的就是采用什么样的形式。基本原则就是,采用不易引起员工反感的形式。员工普遍不喜欢被动的强制教育,例如组织一场培训后强制考试。那么在开展宣教工作的时候,就一定要避免这一点。
在某些办公场所展示信息安全宣教内容,例如会议室、茶水间、打印房等,张贴相关提示的海报,开会前后或者中场休息的间隙,播放信息安全意识的宣传教育短片,这些都是不易引起员工反感,润物细无声的宣教方式。
技巧四:新颖的表现形式,引起员工注意力
如何将信息安全知识更好地呈现给员工,是尤其需要注意并且花心思的事情。如果将内容白纸黑纸的直接呈现在员工面前,那基本上就可以不用期待多高关注度了。普通员工绝大部分不是做IT或者信息安全的,因此“将知识本身转换成为员工能懂的语言”这一点至关重要。同时还要以员工更易接受的形式输出,例如赏心悦目的海报、生动幽默的动画片、震撼冲击力强的教育宣传片,或者随时可翻阅的手机图片等,都是不错的选择。
技巧五:短期与长期计划相结合
选择好了宣教的对象、知识点和内容及其表现形式,接下来就需要制定实际适合企业的信息安全意识宣教计划。一般建议企业先制定一个长期计划和目标,再将长期计划分解成具体、可执行的短期计划。例如,制定一份员工信息安全意识宣教的3年计划,通过每年连续举办信息安全宣传周来实现;另外,除了每年信息安全宣传周的其它时间,则可以每月通过邮件或手机微信等方式,向员工推送信息安全期刊等宣教材料。
技巧六:宣教工作需要长期坚持
长期开展员工的信息安全意识宣传教育工作的关键,与其说在于技巧,不如说是在于坚持。任何意识的培养,都是一个长期且复杂的过程,就像人身和交通安全的意识培养,信息安全意识的宣教也需要持续不断进行下去。
7. 如何提高员工信息安全意识
1 信息安全意识的重要性
信息作为一种资产,是企业或组织进行正常商务运作和管理不可或缺的资源,也是企业财产和个人隐私等的重要载体。与此同时,信息安全的重要性也越加凸显:从最高层次来讲,信息安全关系到国家的安全;对组织机构来说,信息安全关系到正常运作和持续发展;就个人而言,信息安全是保护个人隐私和财产的必然要求。无论是个人、企业还是国家,保持关键的信息资产的安全性都是非常重要的。
据统计,世界上每分钟就有2个企业因为信息安全问题倒闭,而在所有的信息安全事故中,只有20%-30%是因为黑客入侵或其他外部原因造成的,70%-80%是由于内部员工的疏忽或有意泄露造成的;同时78%的企业数据泄露是来自内部员工的不规范操作。
因此企业员工信息安全意识的提升对企业整体信息安全起着至关重要的作用。
2 企业员工信息安全意识现状
根据《2011年度中国企业员工信息安全意识现状调研报告》中,企业员工在信息安全意识方面存在的20大问题如下:
1)有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
2)拥有胸卡的受访者中,接近半数的人曾经外借过胸卡。与2010年的调查数据相比,经常外借胸卡的比例有所上升。
3)在去陌生环境出差时,51.4%的受访者不会主动了解自己工作或居住场所的紧急通道位置或楼层结构图,48.6%的受访者会去主动了解。主动了解的比例比2010年的调查结果略有上升,但情况依然不算乐观。
4)36.6%的受访者会在办公桌面放密级资料。
5)52.9%的受访者表示自己所在企业的打印机附近有合同、通知等重要资料不及时回收,可以让人任意看。
6)37.4%的人选择会直接或者询问下就让尾随的外部人员直接进入办公场所。
7)选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的人所占比例仅为25.4%。
8)仅有30%受访者对敏感数据会进行分类和加密。
9)65%的受访者电脑中数据不做备份或者不定期做备份。
10)接近50%的受访者表示所在单位不会马上对密级资料进行粉碎处理。
11)接近50%的受访者选择不安全的设置电脑屏保、密码方式。
12)有33%的受访者会在电脑桌面存放密级资料。
13)39.2%的受访者暂时离开电脑不会锁屏。
14)当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
15)1%的受访者会点击网页上吸引自己的链接。
16)4%的受访者遇到过恶意插件、病毒攻击,还有19.2%的受访者不确定自己是否遇到过。
17) 64.2%的受访者不知道公司的信息安全策略的相关规定。
18)52.7%的受访者遇到信息安全事件,不知道如何处理、自己处理或者找同事帮忙处理。
19)46.7%的受访者不知道自己接触信息的密级程度。
20)49.4%的受访者认为领导的信息安全意识一般、很差或者还不如自己。
3 信息安全案例分析
3.1 案例一
中国电力财务有限公司商业秘密泄露事件。(来源于:《国网公司信息安全通报》(2010年第1期))
事件经过:2009年12月初,国家电监会通报中国电力财务有限公司某员工使用的计算机中涉及公司商业秘密文件资料泄露。经查,该员工将20余份资料(其中包括公司商业秘密文件)存入非公司转配的个人移动存储介质并带回家中,利用连接互联网的计算机对该移动存储介质操作,由于其家中计算机存在空口令且未安装安全补丁,感染了特洛伊木马病毒,使存于移动存储介质的文件信息泄密。
暴露的问题:该事件暴露出虽然公司三令五申,严格“涉密不上网、上网不涉密”的纪律,但是部分员工缺乏保护商业秘密与工作资料的意识,违反公司“严禁在连接互联网的计算机和移动存储介质上处理、存储涉及企业秘密信息”的要求,利用非公司转配的个人移动存储介质保存商业秘密信息,并违规接入互联网,而直接造成信息外泄事件。
3.2 案例二
上海世博会供电敏感信息泄露事件。(来源于:《国网公司信息安全通报(2010年第2期)》)
事件经过:2010年春节前夕,国网公司接国家安全部所属中国信息安全测评中心通报,发现涉及上海世博会的世博园区供电方案、保障方案、场馆变电站建筑结构图、电气主接线图以及相关敏感资料和信息等泄露。经查,此次信息安全事件是由于信息外网邮箱处理敏感资料所致,涉及上海公司生技、营销、世博办等有关管理和技术人员。
暴露出的问题:1)本次事件是上海公司少数员工信息安全意识淡薄,缺乏保护公司商业密码和重要时期安全保电方案的意识,违背“涉密不上网、上网不涉密”的纪律和公司“严禁在信息外网和互联网上处理、存储涉及企业秘密和工作信息”的要求,在信息外网邮箱存储敏感资料,且通过信息外网邮箱和社会共用邮箱向互联网发送邮件而造成的信息泄密事件。2)上海公司部分信息外网邮件用户采用初始弱口令,未执行《国家电网公司信息系统口令管理暂行规定》中口令强度要求与定期更换的规定,未采取有效措施修改弱口令。相关技术督查队伍未及时发现隐患并督促相应单位和人员采取防范措施,是该事件发送的又一原因。
3.3 案例分析
以上两件发生在国网公司系统内的信息安全事件案例,在暴露出的问题分析中首要的都提到了:“员工信息安全意识淡薄”,可见引起信息安全事件的首要原因都是安全意识问题。
4 各层面人员应具备的信息安全意识
技术人员、一般管理人、普通员工、企业领导四类人应具有的以下方面的信息安全意识。
4.1 技术人员要有主动出击、提前防范的意识
专业技术人员首先要提升自身的信息安全防范意识,不能只像普通员工一样,只考虑自己不发生信息安全事件就行,技术人员要有更强的责任心,主动承担起企业信息安全防护工作,不要只是被动的接收领导或上级单位分配的任务,要主动对信息系统及基础设施进行隐患排查、查缺补漏,要主动承担起宣传、教育普通员工的职责,普及信息安全知识,提升企业全员信息安全意识,为企业信息安全提前做好防范工作。
4.2 管理人员要有及时补救、亡羊补牢的意识
当发生信息安全事件时,管理人员首先应该做的是及时补救事件造成的危害,将信息安全事件的损失和危害降低到最小。其次应当客观分析事件发生的原因,是人为的错误要及时纠正,是系统的漏洞要及时封堵,是设备的缺陷要及时消缺,是别人的责任要及时教育,不要推卸责任、置之不理,要谨记亡羊补牢,为时不晚。
4.3 普通员工要有不越雷池、不触红线的意识
普通员工虽然不能掌握信息安全技术,但必须有较强的信息安全意识,要将信息安全与生产安全同样看待,要牢记公司在信息安全方面的规定和要求,密码一定要用强的,一机一定不能两用,涉密信息一定不能上网,上网信息一定不能涉密,不要对触犯信息安全红线抱有侥幸心理,不要越入信息安全的雷池半步。
4.4 企业领导要有关心信息、重视安全的意识
企业领导对信息安全的重视程度,是决定企业信息安全状况的主要因素。高层领导重视,中层领导必重视;中层领导重视,员工意识必提升。技术人员信息安全意识的提升在于企业领导的引导,普通员工信息安全意识的提升在于企业领导严明的制度和考核的力度。要想让技术人员有主动出击、提前防范,及时补救、亡羊补牢的意识,企业领导就必须关心信息专业、重视信息安全,为技术人员提供良好的发展空间。要想让普通员工要有不越雷池、不触红线的意识,企业领导就要有不敢让其越雷池、触红线的手段。
5 提升信息安全意识的方法及措施
1)制作信息安全意识手册、信息安全意识动画短片、信息安全画册、信息安全意识鼠标垫、信息安全意识海报、展板等信息安全意识产品。持之以恒地开展信息安全意识培训工作。通过这些产品,把信息安全意识的宣贯渗透到员工的生活中去,打造全方位、立体化的信息安全意识宣贯方式。
2)开展形式多样的信息安全知识竞赛活动,例如开展信息安全网上答题活动、组织现场知识竞赛活动,通过活跃的竞赛气氛,激发员工学习信息安全知识的热情,提升员工信息安全意识。
3)企业领导要高度重视信息安全,加大对信息安全事件的考核力度。