世界头号黑客Kevin Mitnick 曾说过一句话:“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备,可只要有人给毫无戒心的员工打个电话……”。
在很多看起来不起眼的细节上,都隐藏着对企业致命的安全隐患,让我们列举一组数字来说明,由此可见企业迫切需要提升员工的信息安全意识。[数据来源:GooAnn发布的国内《中国企业员工信息安全意识调查报告(2012)》]
有56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里和锁抽屉但钥匙放在桌上或笔筒等地方这些不安全的抽屉物品保管行为。
拥有员工胸卡的受访者中,接近50%的受访者曾经外借过胸卡。
36.6%的受访者会在办公桌面放密级资料;仅有30%受访者对敏感数据会进行分类和加密;接近50%的受访者表示所在企业不会马上对密级资料进行粉碎处理。
选择数字+字母+符号+大小写这种相对最为完全的口令/密码设置规则的受访者所占比例仅为25.4%。
65%的受访者电脑中数据不做备份或者不定期做备份;39.2%的受访者暂时离开电脑不会锁屏。
当收到熟悉发件人发送的自动播放flash动画或邮件内部嵌入的网页时,59.2%的受访者会看动画、下载动画、浏览网页或点击网页链接;41.1%的受访者会点击网页上吸引自己的链接。
35.8%的受访者不知道公司的信息安全策略的相关规定。同时有31.7%的受访者不知道自己违反信息安全制度所在企业惩治措施。……
无论多么精良的设备,多么严谨的系统与体系。如果员工的信息安全意识不足,在他们工作形成习惯之后,认为无关紧要的东西,无意“泄露”出去之后,将会给企业带来不可估量的损失。安全技术和产品无法保护每一个人远离每一种可能存在的安全风险。通过提升全员的信息安全意识,让员工建立起保护企业的责任感,是企业面对安全威胁的最佳方式。在调查中受访者认为在所有企业的安全隐患中,信息安全意识缺乏是最大的安全隐患,占到47.6%的比例,提高全员信息安全意识的重要性由此可见。所以必须在整个企业和组织内树立信息安全意识,对员工进行信息安全意识方面的教育,才能够整体提高企业和组织的信息安全水平。
由于员工缺少足够的信息安全意识,他们往往因为自己的便利而违反信息安全规章,也往往意识不到,因为自己的这种行为,会将其他同事乃至整个公司的信息资产推向危险的境地。员工只有有了信息安全意识,才会有好的信息安全行为;有了好的信息安全行为,才会有好的信息安全习惯,人人都养成好的信息安全习惯,才能有效保障企业和组织的安全。
信息安全意识培训不同于其他管理类或技术类培训,以往企业搞培训最常见的现象是上面老师在讲,下面员工在睡觉、手机上网、玩游戏……。GooAnn认为信息安全意识培训必须要做到以下几点才能取得好的效果:
生动——意识培训不应是信息安全法律法规、安全策略和制度的简单说教,而是应以围绕员工日常生活和工作所涉及的信息安全问题、事件展开,并以多种形式展现,时刻吸引员工的注意力;
触动——意识培训应使员工对个人和企业信息安全保护有感同身受的理解,培训内容及展现形式必须能够给员工以触动,使其印象深刻形成自觉保护个和企业信息的主观意愿。
警示——意识培训应使员工了解的缺乏信息安全基本常识、安全意识薄弱的危害和后果,使其对侵害个人和企业信息的行为保持警惕性,将知错犯错存在侥幸心理的念头消灭在萌芽中。
该课程的主要培训对象为:
企业高级管理层
业务部门和IT部门高管
IT相关部门领导与员工
销售、研发、客服、生产等,各业务部门领导与员工
财务、人力、行政、后勤、法务等,各职能部门领导与员工
时 间 | 主 题 | 内 容 | 描述 | ||
上午 9:30 -- 12:00 或 下午 14:00 -- 16:30 | 培训开始 | 讲师在我介绍 课程目标介绍 课程内容介绍 | 使员供了解培训的目标和内容 | ||
一、信息安全意识重要性 | 什么是信息和信息安全 | 循序渐进地使员工了解信息、信息安全、以及安全意识对于个人和企业的重要意义。 | |||
信息安全目标与实质 | |||||
什么信息安全意识 | |||||
信息安全意识的特点 | |||||
常见缺乏安全意识的现象 | |||||
企业信息安全意识现状 | |||||
二、当前的信息安全形势 | 网络安全法知识解读 | 通过一些权威机构发布的数据和近年具有影响的安全事件,使员工了解目前国际国内网络安全环境和信息安全形势。 | |||
网络安全法案例讲解 | |||||
信息安全事件频发 | |||||
安全漏洞层出不穷 | |||||
病毒木马威胁加剧 | |||||
网络钓鱼日渐猖獗 | |||||
网站安全不容乐观 | |||||
移动威胁爆发式增长 | |||||
完善的黑色产业链 | |||||
数据泄露带来新危机 | |||||
境外攻击依然严重 | |||||
法律法规亟待健全 | |||||
当前信息安全形势总结 | |||||
三、个人相关安全主题 | 1. 口令常见安全问题与安全建议 | 通过15个与员工工作和生活密切相关的安全主题的讲解,使员工能够认识到信息安全与自身和企业利益息息相关,了解常见的安全掌握一些基本的信息安全常识和安全设置方法,从而从本质上提高全体员工的安全意识水平。 | |||
2. 浏览器常见安全问题与安全建议 | |||||
3. 电子邮件常见安全问题与安全建议 | |||||
4. 即时通信常见安全问题与安全建议 | |||||
5. 软件下载常见安全问题与安全建议 | |||||
6. 微信常见安全问题与安全建议 | |||||
7. 无线网络常见安全问题与安全建议 | |||||
8. 数据保护常见安全问题与安全建议 | |||||
9. 笔记本电脑常见安全问题与安全建议 | |||||
10. 智能手机常见安全问题与安全建议 | |||||
11. 物理访问常见安全问题与安全建议 | |||||
12. 知识产权常见安全问题与安全建议 | |||||
13. 第三方人员常见安全问题与安全建议 | |||||
14. 商业秘密常见安全问题与安全建议 | |||||
15. 社会工程学常见安全问题与安全建议 |
与时俱进——我们了解最新的信息安全环境和形势,我们了解企业和个人常发生或容易忽略的安全问题,我们能提供覆盖更为广泛的内容;
形象生动——突破传统教科书似的教学方式,穿插响应的图片、动画、视频来吸引员工的注意力,加深其对信息安全和各个安全主题的理解,并给其留下深刻的印象;
注重效果——对于各个主题结合实际案例来引发员工的兴趣与思考,再联系最佳实践或企业相关要求,从本质上提高员工信息安全意识水平。
具体培训时间需由GooAnn与客户协调讲师与学员时间后,经沟通确认。
本次培训的实施地点为XX。
本次培训采用企业内训形式。
由客户提供场地、投影仪、麦克风、白板及其它必要的设施。
学员需准时到场,无需携带电脑,手机需置于关机或震动状态;
禁止课堂录音、摄像,如有违反讲师可停止授课,相关后果和责任由客户承担。
此课程为企业内训课程,如有需要请联系谷安天下培训顾问索要详细方案及报价。