- 意識調(diào)研
- 意識測試
- 意識報告
- 釣魚郵件測試
網(wǎng)絡(luò)安全意識調(diào)研可根據(jù)企業(yè)需要分為多個部分。通過課前摸底調(diào)研,能夠直觀的反映出當前員工的信息安全意識水平與企業(yè)信息安全意識現(xiàn)狀。通過實施后調(diào)研,可以針對所有參與者進行安全意識調(diào)研,對比調(diào)研結(jié)果形成差異分析,直觀看出企業(yè)信息安全意識宣貫的效果。
定期發(fā)放關(guān)于信息安全的小問卷或試卷,設(shè)計由淺入深的題目,花費員工幾分鐘時間進行自測,得分高的員工可以采取獎勵措施。一方面可以用來檢驗個人信息安全意識的領(lǐng)悟程度,另一方面,在設(shè)計題干時、也可作為教育的一種形式。同時,針對不同崗位、不同觀點設(shè)計不同類型試卷,配合正確答案與解析、更加有效的加深員工的理解。
信息安全意識評估類似于風險評估。根據(jù)調(diào)研與測試結(jié)果,可以細化分析出來信息安全意識涉及的具體點的不足,如:口令安全、物理環(huán)境、社會工程學、數(shù)據(jù)保護、通過評估可能因此對企業(yè)信息資產(chǎn)引發(fā)的風險。根據(jù)評估結(jié)果,可以有針對性的選擇進一步提高的具體范圍,減少綜合的培訓投入、避免企業(yè)成本和資源重復或浪費。
頻發(fā)的APT攻擊事件告訴我們,黑客往往采用社會工程學手段對目標組織的員工下手,而這些手段中首當其沖的就是郵件釣魚。據(jù)統(tǒng)計,約92%的數(shù)據(jù)泄露事件與社會工程學事件和魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)。如果一個員工誤點擊惡意鏈接,可能被黑客竊取賬戶信息,或者電腦被人種上木馬,導致企業(yè)內(nèi)網(wǎng)因此淪陷,業(yè)務(wù)數(shù)據(jù)和敏感信息也會陷入巨大風險之中。公司通過定期對內(nèi)部員工進行模擬網(wǎng)絡(luò)釣魚測試、不僅能顯著提升公司應對網(wǎng)絡(luò)攻擊的防御能力也是培養(yǎng)和加強員工安全意識的好方法。