七步计划助员工真正拥有安全意识

　　除非IT安全是某个人的核心工作指标，否则安全因素往往不会成为其持续发展的必须工作。很多时候，员工只是在刚刚入职的时候听过IT部门的初步介绍，并被告知要记住这些内容，并且及时了解并遵守这些随时会发生变化的IT安全策略和流程。

　　没有系统化和积极的用户意识培训环节，固若金汤的安全环境就是空中楼阁。有没有什么药能治愈愚蠢和人类的错误，但你可以教育你的员工，以帮助他们做出正确的决策，避免不必要的错误。那么，你正在采取什么措施确保他们了解这些安全知识呢？

　　以下所讲的七步安全知识行动计划，由NETconsent业务单位(the NETconsent business unit)高级副总裁Dominic Saunders提供，目的是帮助企业确保员工能遵守和适应公司的安全政策。

　　本文将围绕七布规划，讲解如何帮助企业确保员工遵循公司IT安全策略。规划内容由NETconsent业务单位(the NETconsent business unit)高级副总裁Dominic Saunders确认。

　　第一步：重新规划IT安全策略

　　重新规划你的IT安全策略和安全流程。用非常通俗易懂和精炼的语言，而不是只让阅读者有点印象。清晰、详细地说明不遵守这些策略公司面临的风险。

　　第二步：改变介绍安全的方式。

　　考虑改变你介绍安全的方式。篇幅更小、更易于管理的文档不仅更容易被接受者理解，更容易被公司复审和更新。此外，这些比较碎片化的信息，员工更容易找到时间来阅读，在加强对安全基本原理的理解的同时，对当前的安全问题建立更深的理解。

　　第三步：升级安全流程

　　定期复审和升级安全流程，包括定期提醒你的员工。一个员工十年前加入公司时收到过一份安全简报当然不可能确保他知道今天他面临什么安全风险。培训员工，而且一定要定期，将确保他们理解公司期望他们做到什么，特别是现在的形势已经发生了明显变化的时候。

　　第四步：自动分发安全策略

　　考虑使用系统自动将安全策略文件和相关的文档分发到员工的工作站平台上。这将使整个过程可管理化。

　　第五步：引入测试

　　引入测试，无论是对全部用户还是部分。这将有助于帮助识别那些安全策略不被理解，这样这些策略将被重写，以保证每个人都知道他们正在做什么以及为什么这样做——后者当然更重要。此外，你还可以找到弱点，并在必要的方面集中力量进行培训。

　　第六步：让员工签字确认

　　让你的员工在关键策略文件上签字确认，这样你就知道他们已经了解了这些。这个过程还包括让他们知道如果违反了策略的后果。也就是说，确保他们理解，如果他们真的犯了错误，那么他们将真的会被记录在案，不可能被忽略或者被遮掩过去。

　　第七步：公平原则

　　如果员工看到安全策略被公平一致地强制执行在公司的各个层面，而且所有故意忽视企业规则的人都被采取了适当的纪律处分，那么他们就会对安全信息投入更大的关注度。让员工充分认识到违反安全策略的情况细节及其后果，将推动员工选择更加正确的行动，而且还可能更容易鼓励其他人遵守这些公司管理框架下的行为标准。