在移动互联网和云计算时代，企业面临的信息安全风险与日俱增，在安全基础设施上的投入不断加大，新安全技术和创业公司也风起云涌，但是企业较为担忧的，也是企业信息安全较脆弱的环节 — 员工信息安全意识，却并未得到应有重视。

　　近年来，全社会乃至全世界对于信息安全的重视程度不断提升，负责培养安全人才的信息安全教育也越来越多被人们所重视。但我们也可以看到，对于如何开展信息安全教育这件事来说，效率高、效果好、有持续性的安全培训仍然只是一种理想的状态。或许，这一切该从安全人才本身说起。

　　有两点是中小型企业在安全意识培训进程中需要特别注意的。

　　第一点，对全公司都要教授一致的安全信息，中小型企业太小而不足以实行具有不同倾向的多种培训计划。并且，这项计划要由信息技术部门负责管理。

　　第二点，要谨记你的大部分电脑使用者并不是专门人员，培训应该简单且接近日常用户。

　　无论你的侧重点是什么，以下这些在每个计划中都是绝对必要的。

　　1.用户名和密码的处理

　　员工应该学会安全操作用户名和密码。比如，如何选取安全系数高的密码，不要将密码写在纸上或写在粘贴于显示器的便签上，更不要告诉任何人包括技术支援中心。

　　2.网络和邮件的使用

　　员工应该学会提防电子邮件的附件，特别是来自未知发件人的邮件。告诉他们这些附件可能包含病毒、特洛伊木马和其他恶意程序等会损害公司的东西。员工还需要知道公司对合理使用互联网和安全浏览的政策，在办公室的网络接入应该只能于业务用途。色情和赌博网站都会含有恶意程序。这些要在协商中解释以使员工们理解。

　　3.移动设备和便携式电脑安全

　　教导那些以便携式电脑为生经常出差的人如何防止在旅行中电脑被盗，要他们在机场等公共场所登陆时要当心别人偷窥到用户名和密码。员工也要知道在办公室中USB接口和无线接入点能造成的威胁。应该教他们这些移动设备不能在工作中使用；

　　4.社会工程学

　　负责涉外的员工有可能被一些精于记诵的人欺骗，他们会用花言巧语诱骗这些员工透露公司的信息或者能够接入重要系统和资料数据的用户名和密码。教这些员工基本的职业诀窍以防止他们被骗。

　　5.应对突发事件

　　如果一个员工感到有些东西可疑或认为出现了漏洞，教给他们应对这些突发事件的程序。让他们知道该去找谁和怎么找；

　　6.内部培训、外部培训或网络培训

　　传统上，有三种途径策划安全意识培训：在公司内部寻找培训人员和培训部门，聘请外部培训公司或者依托网络、电脑进行培训。

　　如此，能满足中小型企业想要提高员工信息安全意识到正常标准的途径是什么呢?有在传统三个方法的基础上加以少许改动的两条途径。中小型企业可以仍然可以使用内部资源进行范围性培训或者购买网络、电脑的培训程序。

　　另外，中小型企业还可以创造性的在办公室张贴些成本低的彩色安全意识海报对员工潜移默化。

　　7.采用技术手段对网络及重要信息进行管理审计

　　以上6点注意事项虽然能对部分信息安全做到保障，但在各类信息安全频发的今天，很难保证能够规避所以安全风险。所以企业也应该采取技术手段，来达到保障信息安全的目的，例如：一般企业可以通过上网行为管理，和下一代防火墙来限制员工的上网行为，同时对外部攻击做出防护。而研发类或者对服务器安全要求企业，则可采用堡垒机、数据库等产品，以确保技术的外泄、员工的误操作，或者信息的泄露等。

　　安腾科技：网络及安全解决方案专家