1、经典误区：网络安全意识=培训员工 

随着国家出台《网络安全法》以及各行业对网络安全监管要求的颁布，不少企事业单位都陆续开展网络安全意识教育的工作，以减少因此带来的风险。同时，由现实案例也不难发现，“人为操作”在所有网络安全事件中占比是最高也是最难防范的；所以可以说解决了“人”的防范意识问题=解决了核心问题。 在这样的逻辑下，各单位都迫不及待的开展员工的安全意识培训工作，但通过数据显示， 这种“追求表面、应付工作”的做法收获甚微。那么到底什么才是企业培养员工网络安全意识的正确路径？

2、 成年人最好的教育方法就是——“对他们说，让他们做”

想象一下我们对一件事情有"意识”的场景。举个例子：我无意中碰到一颗仙人掌，被上面的刺扎到了手，大脑下意识的举动是把手缩回去，但这时候我们的主观意识已经形成了那就是：仙人掌碰不得。我们会发现任何带有意识层面的不仅仅是说教，而是要实操并且要有真实的代入感，还是这颗仙人掌，别人不断的说你不能碰不能碰，但由于实际没有碰过没准哪天好奇你还是会伸手去摸，按此思路同步到企业对员工网络安全意识培训的工作亦然。培训只是潜意识层面，还需要实操演练的深层意识的灌输。

3、企业常见的问题

做了上百家企业的咨询访谈，我发现对于员工安全意识培训方面都存在很多共性问题，我把这些问题了汇总提炼最后得出以下结论：

→员工不理解，领导难把控。培训没效果，事故扔发生。

如果你是作为负责执行企业中安全意识工作的人员，我理解你的无奈。也了解你在想如何能解决这些难题。这时候我们就需要换个思路去想这个问题：企业为员工进行安全意识培训是为了防止事件发生，为公司减少损失，那员工为什么可以自愿、主动、积极的去参与呢？这时候我们还会发现，每一位员工就成为了 企业在这件事情上所面对的“用户”你要做的就是如何让这些用户“体验良好”，而非把它当成一个工作去向员工们施压。

4、 到底该如何搭建企业的网络安全意识体系？

首先要从根本出发，明确搭建体系的出发点和体系中每个层级的模块内容，简单说来可以大致分这几个部分：

⑴ 意识培训对象

⑵ 意识培训内容

⑶ 意识培训载体

⑷ 意识培训形式

⑸ 意识培训验收

⑹ 意识培训反馈

针对上述6点内容逐一再做一下详细说明：

▲意识培训对象

说到这，首先我们再次回顾之前提到的问题，大多数企业做的是全员的意识培训，实际来讲，在做培训对象的分类时也是需要考虑2个层面的:

⑴ 不同职位有不同的培训需求：比如普通业务员工与专门的网络安全岗位人员所培训的内容一定是有差异化的。

⑵ 员工在不断成长的过程中也需要不断的改变意识培训的内容：比如新入职的员工与中层管理者之间两者对于公司资源的把控也意味着需要不同意识培训来进行对应的学习和理解。

▲意识培训内容

此处内容即可对应上面谈到的培训对象，这里也可代替分为3类：

⑴日常安全意识知识

⑵技术类知识

⑶法律法规知识

日常安全意识对应的就是全员，这里面的知识点通常覆盖面比较广，都是以日常工作行为为例，通俗易懂，让员工都能够有较强的代入感。

技术类知识对应的就是企业的网络安全部门员工，包括安全漏洞、安全编码、数据审计等 技术规范类的知识。

法律法规方面核心点是在国家的法律法规要求下以及对于行业的监管要求下该做好哪些安全措施和行为，这对企业发展来说也具有十分重要的影响。

▲ 意识培训载体

培训载体就是通过哪些途径去向员工传输培训知识内容，传统来大多数依靠线下面授培训以及海报、期刊等。随着科技不断发展线上的培训载体也迎然而生：微信、PC、电子长图、在线游戏等，另外现在也会看到在线下诞生了 ：VR游戏、全息投影 这种高科技的培训体验。

▲意识培训形式

多种多样的培训形式是解决员工对于培训长期坚持及自主坚持的核心关键，这里也举几个例子来说明：

传统的面授太枯燥，无法吸引员工学习。现在可以通过有趣的动画视频以及方便观看的长图让员工更有兴趣更高效的获取知识。

同时无论是线下的安全期刊、海报、易拉宝、还是线上的公众号 PPT、以及小游戏都让员工有更多的选择以及代入感。

另外为了不占用日常工作时间来进行学习，还可以通过电脑屏保、电梯的电视动画、海报、以及宣传片，这些都可以利用员工的碎片化时间从而潜移默化的提升全员的安全意识。

▲意识培训验收

每项学习都需要看由成果来验证，意识培训也是如此。在验收层面对于企业来说需要投入人力以及财力来进行。比如可以组织线下全员的意识测试，从而获取各部门各员工的学习结果，同时也可以利用线上学习平台，通过即时的数据情况和对比来监督和提醒学习进度和情况。

▲意识培训反馈

安全意识培训在实施过程中还是需要不断的迭代和更新，同时应更多听取员工使用的感想和意见，这样才能发挥出培训的最佳属性，真正做到吧培训常态化、主动化、有效化。

5、结语

面对网络安全日益重要的环境下，各企业需要重视起来，把建立安全意识培训体系作为一项核心工作而非任务去完成。只有每位员工的安全意识提高，企业的网络安全环境才会越来越好。

欢迎各企业安全意识伙伴一起交流~