作者：truebasic
链接: https://www.sec-un.org/我眼中的信息安全意识教育体系/

“唯品会安全应急响应中心”公众号于2017-1-9发布了“魔风”撰写的《唯品会信息安全培训体系》，拜读之后、深为叹服，这是一个有理论、有实践、有改进的信息安全培训体系，值得信息安全从业人员学习、借鉴。本人在甲乙方都做过，在甲方高科技企业（也有人将之归类于制造业）有较长的工作经历，因此在信息安全意识教育方面略有一些心得，受此启发，决心分享一些补充性内容；细节上因个人经历和行业经验和“魔风”有差异，请不吝指正。本文首发Sec-UN，转载请注明。

一、目标与成熟度

对于高科技行业、制造业等传统行业（这里的传统行业有别于互联网行业）而言，信息安全团队的价值可能主要是防范内部人员有意或无意的泄密，防止外部攻击引发的破坏和窃取。因此除了IT基础设施的体系化建设之外，让员工（包括干部和高管）具备恰当的信息安全意识，是防范信息安全风险的有效手段；当面对钓鱼邮件、勒索邮件、交易诈骗时，甚至会成为最有效的防线。
按照流行的成熟度模型，我将员工个人的信息安全意识成熟度划分为几个等级，可以用于衡量企业员工信息安全意识教育的水平：

1. 不知道：信息安全是干啥的？为什么要做信息安全？我跟信息安全有啥关系？员工对此基本是一无所知的状态。
2. 知道但不遵守：我知道信息安全是干啥的，但是信息安全跟我没啥关系！我知道信息安全有要求，但是不知道要求是啥，或者不遵守。
3. 知道且遵守：我知道信息安全对我的要求，并能遵守。
4. 认可且主动参与：我知晓并认可信息安全工作的目标和价值，不但遵守要求，当发现信息安全漏洞或威胁时，还能积极主动地采取举报、制止、取证等措施。

站在组织信息安全团队的角度，开展信息安全意识教育工作首先应该界定一个总体目标。这个目标应该和组织信息安全工作的整体目标保持一致。通常而概括地描述就是“员工知道并遵守信息安全要求，如果能主动参与信息安全工作那就更好了”。信息安全要求是什么，就是在不同的业务场景下员工应该怎么做的规范。有了目标这个标尺，我们才好衡量安全意识教育的成效。
信息安全意识教育工作从无到有开展2年以后，应该以3级人群为主形成正态分布，然后逐步优化。组织的信息安全团队一定是希望彻底消灭1、2级人群，3、4级人群越多越好；但任何事情都是有代价的，所以，选择与组织的文化（包括企业文化、信息安全的亚文化）和安全投入相匹配的目标就好。

二、为什么叫意识教育

传统意义上的“培训”二字特指两种形式，一种是面对面的授课，有互动、效果好，但效率不高；一种是将各种信息安全媒体推送到员工面前（如屏保、海报、电梯视频），没有互动，效率高，但效果往往不好。
为什么称之为“意识教育”，因为意识其实也是一种能力，而不只是一种“知识”；就像我们小时候经常说考试时候粗心而错题一样，老师就会告诉你：“细心其实也是一种能力，你就是能力不过关”。我的工作经历表明，单纯依靠培训无法有效地提高员工信息安全意识，正如你不可能靠培训就能提高员工的开发质量、维护水平和沟通能力。我以前的老板一直教育我们：能力提升有个“721模型”，70%靠实战，20%靠师傅带，10%靠培训（后来才知道，这是老外经过长期研究出来的成果，可不是随口胡诌，具体出处真忘了）；经过多年的实践检验，我认为也是成立的。从这个角度看，意识教育其实大有可为：除了培训，面对面的沟通、开会、知识竞赛、现场观摩、参观展览甚至让员工自己面对和解决安全问题，都是可行的选择，只要能达到目标并符合文化和安全投入即可。
举2个实际的例子来深入阐述我的观点。
第1个例子。当我在公司里面访谈一位部门总监（算中层干部吧），他会就公司里面推行加密软件的做法以及遇到的问题跟我抱怨，并埋怨说加密软件造成了很多工作的不便。如果按照传统的“培训”理念，这时我应该友好地记录下他的问题，并在后续的授课、邮件推送中以文字、图片来解答这个问题，而按照“意识教育”理念，我就会在当场与他沟通，告诉他我们为什么会推行加密软件、为什么会遇到当前的问题、我们后续可能会怎么解决这些问题以及可能的计划；在这个沟通过程中双方换位思考、互相体谅，争取达成双方观点的一致，同时把安全人员开展工作的方式方法教给他。这应该也是一种可行的意识教育的手段。
第2个例子。业务单位有一名信息安全的兼职人员，负责本单位的日常检查工作，以及问题的处理和上报。安全团队的老师会对之进行面对面的授课，传授基本知识和技能，但是不是这样就可以了？按照“意识教育”的理念，真正让他具备工作所需的能力，还需要实际锻炼，于是第一次检查会有老师带着他，第二次检查就要自己上了，第三次检查可能老师就要来挑刺、帮助改进了。这应该也是一种可行的意识教育的手段。

三、我眼中的意识教育体系

从建立一个体系角度来看，“唯品会信息安全培训体系”这张图已经完整地展现了一个意识教育体系的内容，在此不赘述，仅再次贴图以表达个人对此的完全同意和支持。哦，当然，要把“培训”二字替换为“意识教育”。实际上，这张图也展示的是“意识教育”的理念。

在这里仅作2点补充：
1、培训形式和培训载体这两者的界限，似乎比较模糊，我更倾向于把两者合并称为“渠道”，其内涵和价值应该是“将意识教育对象需要掌握的意识能力传递给他的手段和方法”。
2、我觉得上面这张图没有充分展现“意识教育体系设计”方面的逻辑关系，我这样表达他们的逻辑关系：

这个图展示了这样的逻辑关系：
（1）针对不同岗位的人员，应该设立有差别的安全意识教育的目标。这个目标实质上是指“教育之后应达到的效果”，并在总体上服务于安全团队的价值、目标。
（2）基于目标，就要梳理能够达到这个目标的“渠道”，已经通过这个渠道要传递的“内容”。同时，要注意不要将“渠道”局限于单向的信息传递，而应该注重双向、多种手段的综合运用。
（3）在“渠道”“内容”的选择和运用上，尤其要注意不能引起员工的反感。这就需要权衡安全团队在企业的强势程度、员工的年龄层次、意识教育内容的表达形式等多方面因素。作为一个普通人，其实非常反感自己被“培训”的对象，因此如何让员工真正感受到安全意识教育给他带来的帮助，是非常重要的。在这个方面，我建议能够让保护个人信息入手，先让员工感兴趣、认同安全的价值，然后引申、推广到保护企业的信息，效果估计会比较好。

四、不要忽视安全亚文化的建设

在企业文化的组成中，安全文化应该视作其中不可忽视的一份子。安全团队可以尝试塑造安全的亚文化，由此塑造在企业中的品牌价值，当然，还有存在感。这种亚文化可以是润物细无声的服务生，也可以作风强势的彪形大汉。在安全亚文化的建设过程中，如果让干部和员工普遍认识到安全团队的价值和存在，常常意识到一些具体业务操作中应该遵守的安全要求，发现安全事件的时候能够优先想到安全团队，那就是非常成功的安全亚文化建设典范了。
不得不说的是，适度的奖励和惩罚措施也应该视为安全意识教育的有效手段。无论是物质的还是精神的，从人性出发，奖惩措施一定会引发员工的关注和讨论，这其实也体现了安全在企业内部的一个价值观—哪些行为会得到奖励，哪些行为则会受到惩罚。
从这个角度看，安全团队成员的一言一行、每一个决策和措施，其实都是在建设安全亚文化，都是在企业内部开展安全意识教育。

五、目标、效果的测评

安全意识教育做的好不好，是不是达到了我们既定的效果和目标，企业管理者和安全团队的负责人都会关心这个问题。
考试是一个成本低廉的测评手段，而且如果样本量够大的话，总体结果也是可信的。当然，中国人都很擅长考试，考前突击训练也是常有的事情，因此，不必过分寄托于考试成绩。
还有一个非常直接的测评手段，就是问问安全团队的每一个成员：员工是不是理解支持你的工作？安全项目开展的资源是否足够？工作阻力有哪些、来自于谁？业务单位是否认可安全团队的价值？再与往年的状态做一个纵向比较，结果自然可知。这个方法虽然不够量化，但也足够定性。