中国政企机构网络安全意识宣教现状及建议

【安防在线 www.anfang.cn】近几年，随着物联网、大数据、云计算、人工智能等新一代信息技术的快速发展，围绕网络和数据的服务与应用呈现爆发式增长，丰富的应用场景下暴露出越来越多的网络安全风险和问题，并在全球范围内产生广泛而深远的影响，并对各行业机构网络安全工作提出更高更多元的要求，其中，人员的网络安全意识也受到了极大的关注与重视。

谷安天下作为国内首家开展人员网络安全意识宣传教育的专业服务机构，顺理与分析了国内政企机构网络安全意识宣教现状及建议如下：

国内政企机构网络安全意识宣教现状

据Gartner一项预测显示：2019年，全球网络安全意识宣教产业规模将达6.60亿美元;而未来四年，该产业的年度复合增长率将高达42%，到2023年达到26.8亿美元，约合人民币190.1亿元。

目前国内网络安全意识宣传教育市场容量远未达所预测，但却处于一个高速增长的阶段。其中金融、央企、政府、互联网、高端制造行业，由于合规、业务发展，以及新技术的发展对网络安全工作提出了更高的要求等驱动力，处在开展网络安全意识宣传教育工作的行业领先水平。并且其网络安全意识宣传教育工作具有以下特点：

逐渐从网络安全工作中的可选项变为必选项

网络安全意识宣传教育工作作为网络安全工作中重要的一环，却是在近几年受到了关注和重视。从最初的面临监管单位等上级检查，不得不做、应付着做，逐步过渡到目前越来越的政企机构将其作为网络安全工作中的必选项，从调研、评估、立项到采购、实施等阶段，科学有序的开展相关工作。

行业特征凸显

不同行业遵循的国际标准、法律法规等虽基本相同，但由于业务场景、监管具体要求等不同，网络安全意识宣传教育工作各有自己行业的特点及侧重点，体现在宣教时间的重要节点、宣教内容与自有业务场景的结合、宣教方式等方面的具体不同。

处于关注宣教内容阶段

从Gartner分析报告中可以了解到，北美等市场区域对于人员网络安全意识宣教工作会倡导“内容为王”，结合行为分析、智能评估等。国内由于国情等不同，网络安全意识宣教工作有着自己的阶段特点。目前，国内政企机构网络安全意识宣教工作处于关注宣教内容阶段，力求宣教的知识点内容与其组织机构的精准匹配。

注重网络安全文化的建设

随着政企机构网络安全工作的开展，开始重视网络安全文化的建设，并逐步发挥网络安全文化的作用。网络安全文化的建设，是政企机构业务安全发展的重要需求。并且，伴随着网络安全工作的开展，员工对网络安全的认识会逐渐深化，对网络安全文化建设的需求会更加明显。

国内政企机构网络安全意识宣教工作难点

政企机构在开展网络安全意识宣传教育的实际工作，面临着以下诸多难点与困境：

内部支持资源并未有效打通

目前负责启动和开展网络安全意识宣传教育工作的绝大部分都是技术或安全部门，技术或安全部门虽然对于安全目标、宣教内容等专业性把握上具有一定优势，但是缺乏组织机构内部总经办、人力资源、行政、市场营销等具有管理、绩效考核、传播等优势资源的支持，工作往往无法达到事半功倍的最优效果。

自有团队不足以支持工作的持续高效开展

网络安全意识宣传教育工作，需要将专业的网络安全知识，梳理并加工成为非技术类员工能理解和学习的内容，利用多媒体等方式展现，调动员工的学习积极性，因此，是一项集网络安全专业知识、内容创意策划、视频制作、设计、美工、营销等于一体的工作，单凭技术或安全团队的力量，很难长期、高效的开展。

外部专业服务机构水平参差不齐

在内部力量不足以支持人员网络安全意识宣传教育工作长期、高效、有序开展的现实条件下，寻求外部专业服务机构的支持与协作是不可避免的选择，但目前国内专业从事网络安全意识宣传教育服务机构从研发、创新和服务能力等维度来看，水平参差不齐，这也直接影响到了用户项目的实施质量和效果。

网络安全意识宣教工作建议

　　体系化布局

建议政企机构开展网络安全意识宣传教育工作时，具备体系化布局的视野，合理利用网络安全意识宣传教育方法论等，逐步构建内部的网络安全意识宣传教育生态，并实现人人可学、处处能学。

精准定位

很多专业服务机构，都发布过网络安全意识宣教成熟度模型，政企机构在开展工作之前或过程中，可以结合自己机构目前开展网络安全意识宣教工作的现状，结合成熟度模型，定位自己机构所处的位置或等级。成熟度模型的意义，一方面帮助我们精准定位，另外一方面让我们认识到，人员的网络安全意识宣传教育工作是一项长期性工作，需要不断努力、不断实践，方能达到较高级别水平。

对宣教对象进行分类分级

宣教对象直接决定了工作目标、宣教内容已经方式方法和工作计划等等。在体系化开展网络安全意识宣传教育工作的过程中，需合理对宣教对象进行分类分级。举个例子，全员可以划分为高层领导、中层管理者、专业技术人员、普通员工几个维度，而随着工作的深入开展，可以继续将员工继续按照市场营销、销售、财务、人力资源能职能岗位进行划分。

建立知识体系框架

以网络安全国际标准、法律法规、行业监管要求、内部安全规章制度、网络安全热点等为框架，制定宣教知识主题与内容，结合成人学习心理与设计原则，将专业的知识内容转化为非技术人员能理解、感兴趣、可传播的内容，对于宣教效果至关重要。很多不成功项目往往也是因为该环节工作把控不到位造成的。

打造宣教阵地

一方面，员工的学习习惯、方式、喜好皆不相同;另一方面，培训与教育工作，永远伴随着宣传，因此，在项目开展过程中，可将电脑端、手机端、物理环境等进行结合，并加以利用和优化，打造多元化、有主有次的网络安全意识宣教阵地，将网络安全意识教育和宣传工作合理开展下去。

制定宣教工作计划

完成前序几项工作后，制定具体的工作内容，并将工作落实到具体的计划当中，定期通过各宣教途径，有序的将宣教内容传播到目标受众前，向受众灌输网络安全知识，逐步提升其安全意识和技能水平。

并且在项目开展前、后和过程中，合理结合调研、测试、模拟演练等方式，获得员工网络安全意识的水平，为合理制定宣教计划提供数据和判别依据;追踪宣教效果和持续改进的方向，为持续不断的有序提升员工安全意识和技能水平，打下基础。

逐步建立内部宣教团队

长期高效的开展网络安全意识宣教工作，政企机构拥有自己的宣教团队是核心。但目前现状是，绝大多数组织机构这部分团队都是缺失的。因此，在开展工作过程中，逐步培养自己的网络安全意识宣教团队是需要同期实施的一项工作。该团队，需要既具备网络安全知识和技能，同时具备网络安全意识宣教项目的管理和实施能力。而理想状态是，组织内部，安全需求无处不在，每个人都应该是安全员。

该文发布时，正值新冠肺炎在全球蔓延之际，面对人身安全，没有旁观者，但只要我们身处在这个网络化世界中，在网络安全面前，同样没有旁观者。