安全意识淡薄,总能让我们看到听到血的教训。信息安全意识是企业安全建设的基石。基石坚固,才能铸成坚固的城墙。但往往基石越多,越不被重视,最后在昂贵的设备和技术的保护下,发生安全事故。提高信息安全意识的方式有很多,常见的有培训、考核、海报、视频、软文、活动等,但比较成熟的是信息安全意识培训。看了很多培训资料,也找过服务商做意识培训,但效果不明显。经过不断的反思和总结,我找到了一套非常适合安全意识培训的方法。至少在我们公司,是比较成功的。从一开始的无视安全,到现在积极向安全部门寻求反馈,反馈问题。这套方法,我称之为安全意识培训的“四步法”。本文将这套方法分享给大家,或许也能给大家一些启发。在进行安全意识培训时,有四个核心要点。一是培训一开始就引起大家的兴趣,愿意放下手机听你讲;二是与学员互动,让大家感知安全意识的重要性,有参与感;三是要有足够的案例,最后最好的是公司内部的案例,让枯燥的课程变得生动有趣;四是与公司业务、部门或具体项目联系起来,引起学员的思考,以便培训后落实。“四步法”是将安全意识培训PPT分为引言、概念、规范和案例四个部分。分析反射。1.简介安全意识培训的第一部分是简介。也可以取序、开卷等自己喜欢的名字。这部分的目的是为了引起大家的兴趣,让大家知道什么是信息安全意识,为什么要进行安全意识培训,安全意识和我有什么关系?序言的开头有四种常见的方式:1.选择一个安全意识相关的视频作为引导,比如《唐人街探案》的一个女黑客的视频片段,《速度与激情8》的一个僵尸汽车的片段,一个视频在抖音中寻找黑客的片段,或在抖音中搜索相关视频片段。视频往往会吸引学生的注意力并引起他们的兴趣。2.选择一个与意识有关的故事作为引导。比如袋鼠跑出笼子,饲养员不停地升起围栏。到了100米时,长颈鹿问袋鼠:“你明天出去吗?”“该出去了,万一他们还忘了关门呢。”袋鼠回答。这个故事很好地说明了意识的重要性。如果没有意识到门是开着的,一味地抬高围栏,只能本末倒置。3、可以把几道选择题作为开篇的标题,让学生自己选择,既可以互动,又可以引出培训的主题。例如:您是否有以下经历?您经常被营销电话骚扰并迅速丢弃订单。街头调查通常会留下您的真实姓名和电话号码。你经常收到中奖的消息。类的状态。4、热点是指热点事件,如微盟数据库删除、微博数据泄露等热门事件作为开场指南,会引起大家的好奇。2、概念篇当大家进入听课状态时,就要为大家普及安全概念。什么是信息安全?信息安全的范围很广,本课程仅限于企业资产的保护(根据实际情况修订)。企业的资产是什么,这些资产在哪里,和我们有什么关系?与信息安全相关的趋势是什么?有什么规定?如果违反规定,会受到什么处罚或后果?这些都是概念篇需要解决和普及的内容。3.规范引入了信息安全的概念,下一步重点关注。既然信息安全如此重要,那么我们应该怎么做才能确保安全呢?一般来说,信息安全意识规??范可以归纳为七类,具体如下:1.账号安全开机首先要设置密码,所以从账号安全入手。账户安全的常见风险包括共享账户、使用自动保存的密码以及设置弱密码或空密码。因此,该部分的安全规范包括禁止账号共享、谨慎使用自动保存(本公司不强制执行,仅作提醒,谨慎使用)和密码安全(8位:大小写字母+数字+特殊字符)。2、软件安全收到电脑后,安装软件,所以第二部分是软件安全。常见的软件安全隐患包括下载未知软件、未安装杀毒软件、擅自安装商业软件等。所以这部分安全规范禁止从网上下载软件,可以到公司的软件库下载(我公司维护了一个软件库,包括常用办公软件,无毒无弹窗安全测试后)。建议从官网下载并安装杀毒软件(可以使用公司统一杀毒软件或其他推荐的杀毒软件)以防病毒。禁止擅自安装商业软件,带来法律诉讼风险。如需安装,需向IT部门申请。3.邮件安全收发邮件是日常工作中必不可少的环节,随之而来的安全风险也不容忽视。如误发邮件、发错邮件导致信息泄露、敏感数据未加密或加密密码直接放在邮件中、收到钓鱼邮件或垃圾邮件等。这部分的安全规范是仔细检查收件人、ccs、邮件内容,避免误发、敏感信息加密发送导致信息泄露。.4、社保社交软件和工具,如微信、抖音、微博、QQ等,在今天的工作和生活中已经离不开。其实社保主要有两点需要注意。一是要仔细区分收到的信息(比如骗子冒用同事信息获取公司信息,前员工索要公司信息),二是对发送的信息要谨慎(不是敏感言论之类的)如反党、反政府、色情暴力等,不能通过社交软件发公司敏感信息,不能在朋友圈发工作信息)。5.个人隐私个人隐私部分与每个人都息息相关。这部分的风险在于日常工作中的一些不良习惯,比如快递单直接扔掉,街头调研填写真实信息,***复印件不加背书等等。这部分的规范是为了养成安全的小习惯。撕掉快递单或用记号笔潦草地写下个人信息(姓名、电话、地址)后,丢弃,在街上或网上进行调查,尽量不要填写真实的个人信息,因为你不知道。你知道这些信息会被如何处理,会不会发送给黑中介造成电信诈骗?***的复印件必须背书,如下图所示。***不加背书被盗的风险极高,比如申请网贷。6、办公安全办公安全是指日常工作中的规范要求,如下班时锁屏、打印文件及时取走、会议信息擦除、敏感文件使用碎纸机、禁止上传公司信息到百度文库、百度网盘、Github等7、电信诈骗电信诈骗是一个复杂的多维事件,可以纳入也可以不纳入安全意识培训。为了帮助大家更好的归类总结,这里也同步介绍一下。电信诈骗的套路都是一样的,如下图所示:电信诈骗的保障,如果接到陌生人的电话,涉及洗钱、转账、涉及公诉,直接挂断即可up,不要纠结,也不要想着反套路。.多关注媒体和公安部门报道的案件,增加反诈骗知识。如果接到诈骗电话,最好反馈给行政部门进行内部信息共享,以免其他同事上当受骗。4.案例这部分主要是案例分析,选出一些有代表性的案例,让大家结合之前学过的知识来分析一下,这个案例是怎么发生的?怎么避免呢。借助案例,让学生复习前面的内容,增加与学生的互动,并运用到案例中。图中案例为某公司摄像头被黑。黑客成功的关键因素是监控后台数据,包括监控系统的地址、上传到百度文库的部署方式(办公安全)、弱密码admin88的使用(账号安全)。最后感谢和答疑,也是检验你们训练效果的时候了。如果很多人和你交流,反馈,基本上你的培训是比较成功的,学员认真听课,开始反思。如果没人跟你交流,下课你摊开或者躺下睡觉,那效果很可能不好,因为学生没有被感动。当然不是绝对的,安全是相对的,更不用说安全意识培训了。愿每一位安全从业者的每一次培训,都能让安全建设的基石更加坚固!
