当前信息安全总体形势

信息安全风险已上升为全球性风险问题

根据世界经济论坛（WEF）发布的《2022年全球风险报告》显示，网络安全威胁已位列全球10大最主要的短期风险。世界经济论坛《2018年全球风险报告》中首次将网络攻击纳入全球风险，成为2018年全球第三大风险因素

企业面临网络威胁的主要形式

数据泄露

生产运营中积累大量客户数据的企业遭受黑客攻击，数据被窃取、售卖或用于非法用途（直接资产损失）

网站入侵、网页内容篡改

黑客利用网站漏洞侵入网站，篡改网页内容，甚至贴上反动标语。造成严重的政治影响，对企业公关形象产生负面影响，被监管部门处罚，影响正常业务开展（公众形象受损）

网络勒索

遭受网络勒索软件攻击，需向对方支付勒索金后方可解锁相关软件或数据。（间接资产损失，业务中断）

分布式拒绝服务攻击

网站受到来自多个站点的同时攻击，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务（业务中断)

数据窃取与网络勒索成为目前企业重点应对信息安全风险

数据窃取、网络勒索的威胁在过去十年中显著增长，特别是在2022年将继续呈现上升趋势。原因很简单, 攻击可以带来直接的收益太了, 根本上改变攻击者攻击成本收益结构

数据黑市已经形成较为成熟的产业模式

数据泄露背后已然形成了一条黑色产业链，非法获取、买卖数据链条成熟、完整、分工明确，滋生着巨大的非法获利空间。 

数据犯罪成本低，收益高，案件数量逐年增加

国内信息安全宏观形势，信息安全多头监管趋细、趋严

国内信息安全法律法规更多、更严

企业信息安全培训体系设计

企业信息安全培训体系设计面临的问题

⑴专业性强，业务相关度不高，难融入人力培训体系

安全培训往被定义为科技内部培训，在企业管理层及业务条线开展难度大，即使开展也多为零散的、随需而做的，尚未形成整体的、有机的、立体的信息安全培训规划。

⑵信息安全培训需求难收集，培训内容针对性不强

信息安全培训需求难收集，培训内容“放之四海而皆准”针对性不强。信息安全培训需求分析不到位，培训内容往往是安全人员自设题目，缺少与实际业务的联通性，不接地气，员工往往“知其然而不知其所以然”，无法真正达到培训效果。

⑶培训形式单一、培训参与度不高

培训场景再现难度高，采用单一的课堂教学方式培训，难以人员集中，培训受众小。如采用线上方式，缺乏日常碎片式、体验式的素材，人员参与度不高，导致培训效果大打折扣。

⑷培训难建立起有效的量化考核机制

对于培训内容是否得到执行，安全意识是否有提升，是否作用到金融机构员工的日常工作中，都没有衡量机制。因此需要通过一些技术手段、检查手段、考核机制来实现，从而促进培训内容的落地执行。

企业信息安全培训体系设计

企业全员安全培训设计要点

全员安全培训设计要点

⑴培训应依托于企业现行的信息安全相关的制度和流程的具体内容，外转内后，更能让大家与真实场景结合

⑵全员培训教案设计思路上可以内部违规处罚的制度与要点为脉络，辅之案例，明确不能触碰的“高压线”和“底线”、违反信息安全规定的惩罚措施等

⑶掌握好全员培训的时机，如借势国家网络安全宣传周，提高全员培训的参与度

⑷开办内部信息安全专栏，提供方便随时系统性学习的平台，建立个案处理知识库，构建自动客服系统

⑸利用好日常碎片式、体验式的素材，必须“抬头不见低头见”，不断重复刷存在感，加深记忆

⑹素材要考虑生动、直观、鲜活、体验式，融入感强

⑺培训环节上一定要有培训考核

全员安全培训重点内容提示—钓鱼邮件防范

全员安全培训重点内容提示—其他形式的钓鱼

全员安全培训重点内容提示—办公终端与远程办公安全要求

全员安全培训重点内容提示—什么密码是安全的

全员安全培训重点内容提示—职场安全

➢ 进入大门、闸机时主动阻止陌生人尾随进入；

➢ 陌生人员未经陪同出现在办公区域，应主动上前询问；

➢ 废弃的纸质资料应该进行充分粉碎（碎纸机）；

➢ 废弃的移动存储设备应交由IT部门消磁处理；

➢ 离开工位时对办公电脑进行锁屏；

➢ 敏感资料应妥善保管，在离开工位时锁入柜中；

➢ 不应使用来历不明的移动存储设备；

➢ 由公司组织个人安全等级考试；