企业如何做好员工安全意识提高

发布时间：2022-05-25 14:06 所属栏目：53 来源：互联网

导读：近年来随着网络安全政策、技术的不断发展，国内企业对于安全的重视程度越来越高，安全建设投入力度越来越大，安全防御能力得到了明显的提升。然而，企业面临一个尴尬的问题就是，企业即使做了很多安全防御措施，但依然无法有效的避免信息安全事件，而这些安

近年来随着网络安全政策、技术的不断发展，国内企业对于安全的重视程度越来越高，安全建设投入力度越来越大，安全防御能力得到了明显的提升。然而，企业面临一个尴尬的问题就是，企业即使做了很多安全防御措施，但依然无法有效的避免信息安全事件，而这些安全事件中绝大多数与企业内部员工安全意识不足有关。据相关机构数据统计，在所有的安全事件中，只有20-30%是由于黑客入侵造成的，而70-80%则是由于内部员工的疏忽或有意泄漏造成的。于此同时，2017年《中国网民网络安全意识调研报告》统计显示，近90%的网民认为当前的网络环境是安全的，但是82.6%的网民没有接受过任何形式的网络安全培训。员工安全意识薄弱已经成为企业面临的最大风险。提高员工安全意识，做好安全教育工作刻不容缓。

面对该问题，国家相关部门也将员工安全意识教育写入政策法规中：

《网络安全法》‐第三十四条(二)规定，定期对从业人员进行网络安全教育、技术培训和技能考核。
《等保2.0》‐6/7/8/9.1.7.3:应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。
《关基安全保护条例》‐第二十七条:运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。
网络钓鱼Phishing
在提高员工安全意识的工作中，网络钓鱼演习无疑是一种行之有效的手段，也是近年来黑客针对员工进行攻击时惯用的手段。由于其攻击成本低效果明显饱受青睐，在整个网络攻击活动中占比高到78%，因此，员工学会如何识别网络钓鱼，学会避开此类攻击将会大大的减少安全事件。

网络钓鱼结合了社会工程学和欺诈技巧，通常利用人性的弱点：贪婪、恐惧、好奇、同情、对权威的敬畏、认知的局限性及偏差来实现。网络钓鱼的形式可能是一个邮件附件，会加载恶意软件到你的计算机;也可能为一个非法网站的链接，诱骗用户下载恶意软件或泄露个人信息甚至是窃取重要的凭据;或者是一个伪造的登录页面，来骗取用户登录凭据。

结合国内外安全意识提升的资料来看，不难发现安全意识的提升主要从两个方面进行：安全培训和模拟演习。以下就如何做好安全培训和模拟演习需要关注的多项指标进行叙述。

怎么制作体系化的课程和阶段化的课程；
员工有什么课程是一次性完成的，什么是暂停/跳过的，为什么？
随机挑选的课程中，员工更愿意学习什么课程，不愿意看的课程又是什么原因呢？
课程完成率这个指标，最能直观的体现出员工的学习态度、进度、以及课程的精度。这里介绍一个课程制定的原则：BEST。

简洁(Brief)长时间的电脑课件培训会让员工厌烦，也无法提高教学效率。只用1-4分钟的时间来完成这一切才是最高效的。
有效(Effective)教会你的员工如何识别钓鱼攻击，发现钓鱼攻击后该做什么，以及到哪里去报告。
简单(Simple) 如果训练中使用员工不熟悉的术语，或者发出的指令过于复杂，那么员工就会感到沮丧。这种沮丧情绪会对训练产生负面影响。
体贴(Thoughtful) 你知道员工每天有多少事要做吗?每天要承受多少压力吗？如果你知道，那么你就会在准备培训课程时深思熟虑，这样才不会给他们繁忙的生活增添额外的压力。与此同时，你还让他们做好保护自己、家人和公司免受钓鱼攻击侵害的准备。你是多么体贴啊！

（编辑：ASP站长网）