信息安全视频点播中心|InformationSecurityVideoOndemandCenter 信息安全意识培训每日一贴 00.落实科学发展观，构建和谐组织。各类型的组织机构每天面临着大量的信息安全威胁， 而且新的威胁也会不断出现，关于机密和敏感资料的信息安全意识培训的缺乏会让组织处于 危险之中。所以，我们要开展信息安全重要性的广泛宣传，进而提高广大干部和群众的安全 意识，确保实现可持续发展的宏伟目标。 1/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 01.信息安全对组织的成功越来越重要，有一些信息安全的基本信念，或称为普世价值，比 如：及时更新系统，安装安全补丁，备份重要资料，启用安全保护功能，监控设备的健康状 态，检查系统运行日志，发现和报告可疑事件„„，组织需要像对待企业文化和商业行为守 则一样，培训员工知晓它们。 2/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 02.组织的业务对计算机信息系统的依赖越来越强，互联的世界随之而来的是组织同其它机 构的数据交换也越来越多，只有提供给使用这些数据的组织内及第三方人员充分的信息安全 意识教育和培训，才能保证他们会用正确的方式使用计算机系统和关键数据，进而保障业务 的安全持续运作。 3/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 03.提供给在职的员工信息安全意识培训，在整个组织推进信息安全文化建设，不仅可以展 示组织关注员工职业发展的良好形象，还能起到吸引外来人才加入，以及减少人才流失的积 极作用。 4/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 04.为了保护网络信息安全，不少的组织都部署了防火墙、VPN、防病毒、入侵检测与防御、 安全审计、网络接入控制、防垃圾邮件、防数据泄漏等等系统。 这些都是很不错的安全控制技术，成熟的安全体系需要更多的是至上而下的管理，您的组织 有制定信息安全方针策略和标准吗？有将这些信息安全策略推广和传递到适当的受众如员 工、客户以及合作伙伴吗？这些受众的信息安全行为符合政策和标准的要求吗？ 5/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 05.为了提高员工的工作效率，防止机密数据的外泄，不少组织部署了防火墙、上网行为管 理、内容过滤与审计等系统，进而来规范员工的上网行为。 如果管控过于严厉苛刻，容易招致员工的不满和引起翻墙越狱等行为，这样不但达不到控制 的目标，往往还会适得其反；如果管控过于松懈，则可能打开安全缺口和漏洞，进而为组织 带来更多安全隐患，以及造成网络及信息资源的滥用。 要合理有效地控制安全风险，组织需要将安全控管技术同员工信息安全意识培训有机地结合 起来。 6/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 06.信息安全管理也需采取自上而下的方法，从业务战略层面看待信息安全是组织最高领导 层的职责，所以高层要对保护信息安全进行承诺、签署信息安全方针政策、委派管理层及员 工相应的安全角色和职责、分配相关的信息安全培训资源，评审信息安全管理报告等。 信息安全是为了保障业务，所以安全控制要内置进业务的各个环节，员工的信息安全意识以 及行为也要和员工所在部门以及个人的绩效考评挂钩。 7/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 07.信息安全文化的建设非一朝一夕可达成的，而是一个长期和艰巨的过程。 要从容应对新型的安全威胁，和保持员工的头脑刷新，组织需要定期，至少每年进行一次全 员的信息安全意识再培训。 平时也可利用一些特殊的日子如信息安全日进行宣传教育，组织内外部的安全事件、信息安 全稽核结果也都可以用来作为培训课题和素材，邮件列表、张贴画、传单、互动视频、信息 安全信箱及热线等都各种方式都可以用于随时提示全体员工。 8/32 信息安全视频点播中心|InformationSecurityVideoOndemandCenter 08.信息安全管理，难免万无一失，当发生安全事件时，如何进行恰当的处理？组织的管理 层及安全人员需要告知员工如何正确地识别、区分、报告和响应各类信息安全事件。 提供信息安全紧急事件响应的培训和演习，可以帮助组织更有效处理安全危机，进而减少