构建员工安全意识计划（二）：最佳实践

现在，我们将探讨一些基于整体行动步骤构建完整程序的示例。所讨论的示例计划旨在为你提供计划基线，并且可以根据组织的需求进行定制。

创建安全意识 站

这个 站应该是你的安全意识计划工作门面。它应该为员工提供可信赖的资源，以获取最新信息。没有人愿意在他们的电子邮件中搜索政策或程序，特别是当 站为他们提供所需的所有资源时[1]。内容至少应包括：

■ 用于 告可疑活动的电子邮件地址和电话 码

■ 培训和参考资料

■ 最近收到的 络钓鱼电子邮件或电话的警

■ 关于计算机使用和物理安全的企业政策

■ 员工的家用电脑防病毒信息

■ 当天的安全提示

■链接到有关热门主题的外部文章，例如身份盗用

除了包含有用的信息外，安全意识门户 站还需要吸引人，以鼓励员工主动访问。引人注目的标题、主题和图片将读者的注意力吸引到手头的主题上[2]。包括简短的安全视频[3]或卡通动画[4]，创造了一个有吸引力的教育 站。与你的营销和 Web 开发团队合作，简化访客的体验。最重要的是， 站内容必须是最新的，以吸引员工经常访问。虽然你希望 站充满有用的内容，但不要过多地使用无关的材料，因为某些员工将无法区分有用信息和一般信息。

示例计划

低等预算

此计划最适合预算有限的组织。如果部门在地理位置上很分散，那么面对面的培训工作可以由当地的 络安全接口人介绍，也可以从公司总部的演示中记录下来。

新员工培训

面对面的培训内容需涵盖以下公司政策：

■ 数据分类

■ 授权电脑使用

■ 实际出入境手续

■ 处理敏感信息

■ 举 可疑电子邮件或活动

■ 法规特定要求（如适用）

基于计算机的培训（CBT），基于Web的培训（WBT）或视频培训，用于以下方面：

■ 电脑/笔记本电脑安全

■ 络钓鱼意识和预防基础知识

■ 良好的安全习惯

■ 安全 页浏览

■ 选择有效的密码

■ 会工程学

一年两次的培训

大多数半年一次的培训重申了新员工培训中涵盖的基础知识，但增加了一些其他主题。使用新员工培训中的 CBT、WBT 或视频培训模块。还应添加以下内容：

■ 与安全相关的政策或程序变更

■ 审查物理安全基础知识，如尾随进入办公区域

■ 访客政策

■ 可疑电子邮件和/或活动的 告程序

■ 敏感信息的处理

■ 可移动介质安全

■ 新的安全相关软件，如密码保险箱

持续培训

宣传海 是最便宜的意识宣贯资源之一。成功使用宣传海 的两个最大因素是位置和内容。将海 放置在人流量大的区域，那里的能见度最高。此外，轮换海 ，内容和位置放置，以确保员工持续阅读资料。通过这样做，你有更大的机会让员工停留查看海 上的信息。为员工提供信息更新的其他方法是不断更新安全意识 站，并就各种与安全相关的主题发布月度或季度简 。这些是保持员工安全的有效方法。

自制视频广告系列是另一种低成本的培训选择。视频应该是非正式的——带一点好莱坞式的视频——而且只有一两分钟长。鼓励每个员工参与视频的拍摄和制作。在视频中引入一些幽默题材可以吸引员工经常期待观看视频，因为它激发了友情并帮助员工与某个主题联系起来。还包括一个接收反馈的电子邮件地址，供员工提交有关未来内容的想法。

午餐和学习课程有许多免费的选择。安全团队或其他工作人员（在安全团队的指导和批准下）可以为演示文稿创作会话内容。对于那些希望提高公开演讲技巧的人来说，在这些活动中发言也是一个好方法。另一种选择是观看短视频，然后进行小组讨论。从季度会议开始，然后根据受欢迎程度和志愿者演示者添加会议。

络钓鱼评估

组织应致力于每年至少完成两次 络钓鱼评估。开源软件是实施自己的 络钓鱼评估的最便宜的选择。 交工程工具包 （SET） 是用于执行你自己的 络钓鱼评估的免费工具。SET 需要基本的Linux和Apache知识，因此最好将此任务分配给安全团队中技术熟练的成员。确保结果以电子表格或类似格式存储，以便长期跟踪和比较。

中等预算

此计划最适合预算适中的组织，并假定办公地点在地理位置上比较分散。该计划的重点是在流程自动化和内容最有利的领域利用资金。面对面培训部分可以由当地 络安全接口人介绍，也可以从公司总部的演示中记录下来。该计划的面对面培训部分旨在向组织中的安全组或本地接口人提供展示的机会。

新员工培训

面对面的培训内容需要涵盖以下公司政策：

■ 数据分类

■ 授权电脑使用

■ 实际出入境手续

■ 处理敏感信息

■ 举 可疑电子邮件或活动

■ 法规特定要求（如适用）

CBT、WBT 或视频培训，用于以下方面：

■ 电脑/笔记本电脑安全

■ 络钓鱼意识和预防基础知识

■ 良好的安全习惯

■ 安全 页浏览

■ 选择有效的密码

■ 会工程学

对于中等预算的组织，最佳选择是商业解决方案 WBT，它具有独立的培训模块、 络钓鱼评估功能、可与失败的 络钓鱼评估相结合的培训模块以及进度跟踪。进度跟踪应包括员工何时参加了所需的培训以及 络钓鱼评估的结果。

一年两次的培训

大多数半年一次的培训重申了新员工培训中涵盖的基础知识，但增加了一些其他主题。利用新员工培训中的 WBT 模块。还应添加以下内容：

■ 与安全相关的政策或程序变更

■ 审查物理安全基础知识，如尾随

■ 访客政策

■ 可疑电子邮件和/或活动的 告程序

■ 处理敏感信息

■ 可拆卸的介质安全

■ 新的安全相关软件，如密码保险箱

请记住，一年两次的培训课程不需要使用相同的培训方式。例如，今年的第一次培训可以是WBT，第二次培训可以面对面的介绍。改变培训方式通常是帮助员工保留数据和提高整体意识的好方法。

持续培训

海 是最受欢迎和最便宜的意识资源之一。成功使用海 的两个最大因素是位置和内容。将海 放置在人流量大的区域，那里的能见度最高。此外，轮换海 ，内容和位置放置，以确保员工不断阅读资料。通过这样做，你有更大的机会让员工停留在海 上查看信息。为员工提供信息更新的其他方法是不断更新安全意识 站，并就各种与安全相关的主题发布月度或季度简 。这些是保持员工安全的有效方法。

午餐和学习课程也可以纳入你的意识计划，但不应占用大部分年度计划预算。午餐和学习课程有许多免费和低成本的选择。安全团队或其他员工（在安全团队的指导和批准下）可以为演示文稿创作会话内容。对于那些希望提高公开演讲技巧的人来说，在这些活动中发言也是一个好方法。

络钓鱼评估

如果你已投资了强大的商业解决方案，其中包括 络钓鱼评估功能和培训，则应每季度完成一次 络钓鱼评估。制定每个季度的评估计划并按期执行。如果你的组织规模较小或中等，则可以每月执行 络钓鱼评估。通过为未通过 络钓鱼评估的用户提供培训，你将提供全年培训计划，以加强一年两次的培训课程中提供的材料。

高等预算

如果你的组织有幸拥有大量预算，则以下计划应作为基线。该计划假定组织拥有大量地理位置分散的员工，并且必须满足法规培训要求。该计划的重点是在流程自动化和内容最有利的领域利用资金。虽然面对面培训部分对某些组织来说效果很好，但更多基于技术的交付解决方案可能最适合大量员工。

新员工培训

CBT、WBT 或视频培训，用于以下方面：

■ 数据分类

■ 授权电脑使用

■ 实际出入境手续

■ 敏感信息的处理

■ 可疑电子邮件和/或活动的 告程序

■ 法规特定要求（如适用）

■ 电脑/笔记本电脑安全

■ 络钓鱼意识和预防基础知识

■ 良好的安全习惯

■ 安全 页浏览

■ 选择有效的密码

■ 会工程学

对于特定于组织的主题，自定义 WBT 解决方案是最佳选择。具有长期支持的自定义 WBT 解决方案使你能够指定所需内容，并能够随时间推移更新材料。由于存在潜在的敏感材料，最好将 WBT 托管在你的环境中。选择商业产品时，请确保内容可以托管在你的环境中。

对于一般安全主题，可以购买 WBT，它具有独立的培训模块、 络钓鱼评估功能、可与失败的 络钓鱼评估相结合的培训模块以及进度跟踪。进度跟踪应包括员工何时参加了所需的培训以及 络钓鱼评估的结果。

一年两次的培训

大多数半年一次的培训重申了新员工培训中涵盖的基础知识，但增加了一些其他主题。利用新员工培训中的 WBT 模块。还应添加以下内容：

■ 与安全相关的政策或程序变更

■ 审查物理安全基础知识，如尾随进入办公区域

■ 访客政策

■ 可疑电子邮件和/或活动的 告程序

■ 敏感信息的处理

■ 可移动介质安全

■ 新的安全相关软件，如密码保险箱

请记住，一年两次的培训课程不需要使用相同的培训方式。例如，今年的第一次培训可以是WBT，第二次培训可以面对面的介绍。虽然为远程位置录制面对面演示视频也是一种选择，但为了获得最大效果，应该让本地现场安全经理演示培训材料。这为员工提供了亲自提问并熟悉当地安全团队的机会。

持续培训

尽管海 被认为是一种低成本的意识资源，但它们仍应纳入你的意识计划中。在大型组织中，员工不太可能与安全团队进行日常互动。海 用于为员工提供最佳安全实践的微妙提醒。如果你购买了商业视频广告系列，则海 通常会包含在购买价格中。除了更新安全意识 站外，每月或每季度发布有关各种安全相关主题的简 是保持员工安全的有效方法。

对于大型组织来说，午餐和学习课程在后勤上可能具有挑战性，但并非不可能。在总部举办的会议可以使用视频电话会议软件进行现场录制或直播。此外，远程办公地点可以承载本地的培训。安全团队或其他工作人员（在安全团队的指导和批准下）可以为演示文稿创作会话内容。对于那些希望提高公开演讲技巧的人来说，在这些活动中发言也是一个好方法。如果预算允许，请考虑聘请一位受欢迎的演讲人物来鼓励出席。

络钓鱼评估

络钓鱼评估应每季度完成一次，并提供强大的商业解决方案，其中包括 络钓鱼评估功能和培训。制定每个季度的评估计划并按期执行。通过为未通过 络钓鱼评估的用户提供培训，你将提供全年培训计划，以加强一年两次的培训课程中提供的材料。

推广你的安全意识计划

为了取得成功，需要推广所有安全意识计划。但是，让员工参与进来并不总是一件容易的事。你可能经常需要在内部营销你的计划，也称为你自己的（员工）的 会工程。你不仅在推广一个意识计划，而且还在影响一种安全意识文化。以下是一些可帮助你入门的活动。

竞赛和奖品

人们天生就是竞争性的，当涉及某种类型的奖品时更是如此。比赛是吸引每个人注意力和参与的好方法。以下是一些可帮助你入门的示例：

■ 根据程序、合规性或任何其他提供的材料正确回答安全问题的奖品

■ 安全海 大赛

■ 对具有完美 络钓鱼评估分数的人的奖励或认可

■ 自制意识视频大赛

■ 告潜在 络钓鱼的人的每月抽奖

奖品可能会根据你的预算而有所不同。但是，奖品并不总是需要昂贵才能有效。一些受欢迎的选择是：

■ 礼品卡

■ 电影通行证

■ 活动门票

■ 预留停车位

■ 现金

■ 小型电子设备，如MP3播放器

公告

全国 络安全意识月

由美国国土安全部和国家 络安全联盟创建的国家 络安全意识月（NCSAM）在每年十月份举行。NCSAM旨在为政府和民间组织创建一个安全的 络环境[5]。NCSAM可用于加强培训材料，以及引入新内容。通常每周声明一个主题，但这不是必需的。一些示例主题包括：

■ 安全：责任共担

■ 移动安全

■ 身份盗用

■ 交媒体的危险

■ 确保儿童在线安全

■ 络犯罪

NCSAM活动可以从特别版桌面背景到带有演示和活动的 络安全博览会。许多大学和组织为NCSAM的规划和协调提供免费材料。信息详见：http://www.staysafeonline.org/ncsam/

附录

[1] 安全意识快速入门指南：https://wiki.internet2.edu/confluence/display/itsg2/Security+Awareness+Quick+Start+Guide

[2] 开发你的校园信息安全 站：https://wiki.internet2.edu/confluence/display/itsg2/Developing+Your+Campus+Information+Security+Website