在移动互联网和云计算时代，企业面临的信息安全风险与日俱增，在安全基础设施上的投入不断加大，新安全技术和创业公司也风起云涌，但是企业较为担忧的，也是企业信息安全较脆弱的环节 — 员工信息安全意识，却并未得到应有重视。

　　对于如何开展信息安全教育这件事来说，效率高、效果好、有持续性的安全培训仍然只是一种理想的状态。或许，这一切该从安全人才本身说起。 

　　一、中小型企业在安全意识培训进程中需要注意以下方面：

　　1.用户名和密码的处理

　　员工应该学会安全操作用户名和密码。比如，如何选取安全系数高的密码，不要将密码写在纸上或写在粘贴于显示器的便签上，更不要告诉任何人包括技术支援中心。

　　2.网络和邮件的使用

　　员工应该学会提防电子邮件的附件，特别是来自未知发件人的邮件。告诉他们这些附件可能包含病毒、特洛伊木马和其他恶意程序等会损害公司的东西。员工还需要知道公司对合理使用互联网和安全浏览的政策，在办公室的网络接入应该只能于业务用途，色情和赌博网站都会含有恶意程序，这些要在协商中解释以使员工们理解。

　　3.移动设备和便携式电脑安全

　　教导那些以便携式电脑为生经常出差的人如何防止在旅行中电脑被盗，要他们在机场等公共场所登陆时要当心别人偷窥到用户名和密码。员工也要知道在办公室中USB接口和无线接入点能造成的威胁，应该教他们这些移动设备不能在工作中使用。

　　4.社会工程学

　　负责涉外的员工有可能被一些精于记诵的人欺骗，他们会用花言巧语诱骗这些员工透露公司的信息或者能够接入重要系统和资料数据的用户名和密码，应教这些员工基本的职业诀窍以防止他们被骗。

　　5.应对突发事件

　　如果一个员工感到有些东西可疑或认为出现了漏洞，教给他们应对这些突发事件的程序，让他们知道该去找谁和怎么找。

　　6.内部培训、外部培训或网络培训

　　传统上，有三种途径策划安全意识培训：在公司内部寻找培训人员和培训部门，聘请外部培训公司或者依托网络、电脑进行培训。另外，中小型企业还可以创造性的在办公室张贴些成本低的彩色安全意识海报对员工潜移默化。

　　7.采用技术手段对网络及重要信息进行管理审计

　　以上6点注意事项虽然能对部分信息安全做到保障，但在各类信息安全频发的今天，很难保证能够规避所有安全风险。所以企业也应该采取技术手段，来达到保障信息安全的目的。例如：一般企业可以通过上网行为管理，和下一代防火墙来限制员工的上网行为，同时对外部攻击做出防护；而研发类或者对服务器安全要求企业，则可采用堡垒机、数据库等产品，以确保技术的外泄、员工的误操作，或者信息的泄露等。

　　二、等级保护到底是什么？

　　网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

　　我国政府充分认识到信息系统在国家各行业各层面的重要性，推出了信息安全等级保护制度，并作为国家信息安全保障工作的基本制度。安腾科技将通过等级化咨询协助组织通过等级保护测评，帮助企业进行等级化安全建设。

　　三、为什么需要等级保护？

　　● 政策法规驱动组织加强安全保障措施，但组织却无法确认差距和投入；

　　● 组织信息系统没有明确地重要性分类及安全等级划分，信息化建设重点不突出，造成组织信息化建设资金、人力等投入的浪费和重叠，无法完全达到预期效果；

　　● 组织信息化建设没有适合自身发展需求的规划设计方案，后续建设随机性较强；

　　● 由于组织信息系统应用众多、结构复杂，涉及的部门和人员较多等因素，无法实现有效、持续地安全管理。

　　四、关于等级保护工作的系统测评周期？

　　等级保护测评就是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评，出具相应的信息系统测评报告。测评周期的要求：信息安全等级保护管理办法（公通字[2007]43号）中要求：“第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。”

　　这就是我们说的三级系统每年必须要做一次测评，那么二级系统呢，我们翻阅了大量资料后没有找到关于二级系统明确的时间要求，从等保的定义和等保工作流程上，可以知道：定级备案是第一和第二步，测评、整改和监督检查是后续动作，所以说只有你定级了，就得去做等保测评，二级系统原则上是可以自测评的。但是实际情况下我们发现绝大多数用户单位是没有这个能力去测评的，所以还是得委托测评机构进行测评。那么二级系统第一次定级备案后是一定需要去做等保测评工作的，后续经过大量用户实践和主管单位的指导，正常是二级系统两年左右做一次测评。

　　为什么是两年呢？第一、系统相对三级没那么重要，所以时间上相对长点；第二、系统相对没有定级的系统更重要些，且往往有些二级系统也非常重要，存储了大量重要的信息数据（其实本来是定三级的，种种原因定了二级），不去做测评，风险太大。另外一些行业明确规定二级系统测评周期是两年，如电力行业。

　　较后安腾科技建议大家：系统定级备案后，测评及后续工作就要正常开展起来。不做测评、不做等保就是网络安全义务没有履行到位，对应网络安全法会有相关处罚的。