企业信息安全意识教育的10大常见”雷区”！

企业信息安全意识教育的10大常见”雷区”！ – 作者:易念科技

网络安全问题产生的原因有三种：技术漏洞、流程漏洞以及人的漏洞，其中人是网络安全防线中最脆弱的一环！业界普遍认为90%的企业数据泄露和网络攻击事件是由人为因素引起的。

当“人为因素”受到重视，很多企业会开展员工安全意识教育工作，但问题在于对毫无经验的企业来说，盲目开展工作总会存在一些问题。

以下是Gartner报告中截取的企业开展意识教育的10个常见的坑，而这些坑正好契合CSAO课程方法论。

1. 负责安全意识工作的人缺综合技能、缺方法论指导

很多企业面临着这样的现状：懂安全技术的人，不一定知道要如何面对普通员工开展安全意识教育工作。

CSAO课程具备完整的理论知识体系，帮助开展企业员工安全意识教育工作，并给予理论指导、案例体验和解决方案等。

2. 缺少授权/权利，未能争取大领导的理解与支持

对于普通人来说，学习CSAO课程的收益之一，就是能够规划创建企业安全意识计划，说服管理层重视安全意识教育工作，获取管理层的关注与支持。

3. 治标不治本，浮于表面功夫上的宣导

企业开展安全意识工作并不仅仅只是粘贴宣传海报、摆放易拉宝等，这样的工作开展治标不治本。

CSAO认证课程是在中国网络空间安全教育人才联盟指导下，由网安意识培养提高工作组专家历经一年研发、两轮专家评审才开发完成的全新网络安全职业认证课程。

通过CSAO学习，不仅可以收获整套安全意识教育工作开展的方法论，还能获得提升安全意识行之有效的工具。

4. 内容枯燥无趣、晦涩难懂，引发不起员工注意力和兴趣

传统意识教育工作内容枯燥、难以吸引员工注意力，CSAO课程通过游戏化、互动化等运营手段，帮助企业运营管理安全意识教育工作，吸引提高员工对安全意识教育的积极性。

5. 缺少清晰的安全意识教育目标

企业开展安全意识教育工作的目标，从短时间内来看是减少人为因素引发的信息安全泄露事故，从长远来看，更能帮助建立企业良好安全文化。但安全意识并非与生俱来，它同样需要经过系统的教育学习和培训引导。

6. 与员工脱节，员工被动参与。不了解员工的风险特点与意识需求，没有做到基于岗位的安全意识培训

CSAO课程在研发过程中运用心理学、行为学、管理学等关键原理，在经过充分调研、理解员工的风险特点和意识需求的前提下，做到吸引员工学目光，让员工按角色积极主动参与学习。

7. 没有度量指标或指标设置不合理(合规性与影响力两方面指标需要兼顾)

CSAO课程提供全方位的方法论与实践指导，并将安全意识工作进行体系化、可视化和可度量，以提升企业安全意识成熟度水平，更有效满足合规要求及降低“人为因素”风险。

8. 不聚焦，意识教育应落实到行为改变层面上才有实质性意义

CSAO课程不仅包含专业系统理论学习，让管理者掌握安全意识教育方法论，让员工掌握基本的安全风险防范技巧，同时结合工作案例实操演练，让员工真正意识到网络安全并不只是安全负责人的事，而是每个人的事，将学到的知识应用到工作、生活中。

9. 培训频度、深度和力度不足

10. 缺少有效激励机制，以持续鼓励员工保持安全行为、改变不安全行为

通过推荐的学习平台管理工具，利用积分机制激励员工学习安全知识的兴趣，获取的积分可换取安全衍生品和心仪小礼物，同事也给员工作相应的风险评估，并给予相应的奖惩，促使员工持续保持安全行为，改变不安全行为。

企业信息安全意识教育的10大常见”雷区”恰好契合CSAO课程所涉及到的各项内容。另，联盟计划在11月份做一期CSAO线上培训，感兴趣的小伙伴请关注我们，获取最新课程开课信息。

关于我们

易念科技是中国网络安全意识教育的领导企业，提供在线教育、钓鱼演练、案例体验、风险度量等安全意识教育内容、平台与运营服务，改变员工风险认知，建立企业安全文化。公司秉承意识决定安全的核心理念，致力于打造网络安全人脑防火墙。

平台构成

旗下：享安全-人为因素风险教育管理平台，由CSAO™ Store知识库、HackDemo™案例体验工具、M-learning™主题教育与测评、E-Phishing™钓鱼仿真演练、EasyMind™人员风险态势感知等五大模块构成，基于中国用户场景，应用行为心理学的核心思想，赋能企业建立人员安全教育的测评、教育、验证、运营、度量全过程管理，提升企业风险管理水平。

CSAO™Store：知识库

在线网络安全意识教育资源库，开展安全意识教育所需的方法、课程、素材、题库、模板、证书等；支持平台调用与内容订阅。

HackDemo™：案例体验

黑客威胁仿真工具集，通过案例体验方式，改变员工风险认知；支持体验日活动、体验厅建设、线上体验等模式。

M-learning™：教育测评

移动化教学与测评平台，将游戏化运营思想带入教育过程；提供主题课程、知识测评、游戏运营等方式的SaaS服务。

E-Phishing™：钓鱼演练

网络钓鱼测试与教育演练系统，通过仿真攻击方法，验证员工风险识别与防范能力；支持公网服务与内网部署

EasyMind™：态势感知

人员风险态势感知系统，与安全设备进行数据关联，结合高风险行为有针对性的推送学习内容，建立企业人员风险地图；支持账号、API、私有云部署等多种方式。

·end·

更多安全意识教育解决方案