信息安全管理之员工的行为和意识

员工的行为和意识

安全意识培训可以纠正员工所有危害机构信息安全的行为。通过教导员工怎样正确地处理信息、应用信息，能够降低偶然损害或者信息破坏的风险性；通过让员工了解信息安全的威胁、这些威胁能够导致的潜在损坏以及这些威胁发生的方式，降低因员工认为这些威胁不严重而带来的潜在风险；通过使员工了解策略、 没有遵循策略将受到的惩罚和策略破坏被发现的机制，降低一个员·工试图有意错用和滥用信息的可能性。如上所述，惩罚性策略主要是想达到以下效果：①员工害怕惩罚，②员工认为他们可能被抓住，③员工认为如果被抓住，他们将被惩罚。

如果管理者不树立一个好榜样，安全意识培训活动可能被破坏。管理者特别是上层管理者没有遵循组织的策略将很快被所有员工的行为和活动反映出来。 举个例子，假设Random Widget Works的一个策略就是所有员工任何时间在显眼的位置佩带统一的徽章。如果一段时候后员工发现高级主管没有佩戴徽章，那么逐渐就没有人佩戴徽章，而惩罚没有佩戴徽章员工的事也会不了了之。上层管理者对策略的破坏总是被认为缺乏对策略的支持，因此，如果管理者期望整个组织都遵循策略，他们就必须做好榜样。