安全意识培养的尴尬在于：容易流于形式，很难评估效果。但安全意识对于企业又至关重要，做一套行之有效的安全意识培养规划是很多CSO可遇而不可求的，今天的文章重点分享安全意识培养的技巧，角度新颖、方法创新，可操作性强，异于形而上的传统思维，是CSO必读之宝典。

一、确定衡量指标

“安全工作中最关键的要素之一在于如何衡量自己的努力是否取得了成功。衡量这一目标的惟一方式就是收集先前信息，摸清状况，根据当下背景开展新的安全意识培养工作。”安全意识规划服务公司Scure Mentem的负责人Ira Winkler与Samantha Manke这样表示。

在该公司最近发表题为《成功安全意识规划的七大元素》一文中提到：安全工作是否成功主要取决于组织成员的态度。 其具体内容还包网络钓鱼模拟工具的使用，以及安全意识培训课程等。大家也可以检查与安全相关的事故数量，例如员工曾经多少次尝试访问违禁网站。

二、换个角度看安全意识测试结果

“当人们讨论意识问题时，他们往往只专注于预防——他们试图通过‘人力防火墙’('human firewall)的概念保障自身安全，”SANS协会人力规划保护培训主管兼《安全意识五大误区》作者Lance Spitzner指出。“尽管预防确实非常重要，但为什么要把眼光局限在这里呢?为什么不把员工从‘人力防火墙’培养成‘人力传感器’(human sensors as well)?”

Spitzner建议大家通过培训帮助员工了解违规事件的衡量指标，从而使他们具备报告潜在事故的能力。“举例来说，如果企业正在进行内部钓鱼测试，那么所关注的结果不该只是有多少员工被成功引入陷阱，更要留心有多少员工敏锐地发现了问题并报告这一攻击活动。想象一下，如果这样的能力普及开来，我们的企业将具备多么强大的自我保护能力，”他解释道。

三、允许员工在一定程度上打破规则

打破规则往往能够提高企业内部安全意识，Security Catalyst公司的Michael Santarcangelo认为。

为了让这一切真正起到预期效果，Santarcangelo建议大家按以下步骤进行操作：

1，选择“正确”的规则予以打破：挑选那些不太可能造成真正危害但又有助于员工理解自身行为后果的规则。

2，将此定性为特殊事件(而非常规事件)：当出现员工违规操作时，提醒员工企业尊重他们，因此不会就该事件对其进行惩罚，但同时提醒他们这件事造成了一定影响(包括一部分组织影响)。

3，采用组织对话而非讲座方式从员工的实际经历中总结经验，进行借鉴，用实际事例帮助员工更好地理解企业安全规则制定的目的。

(责任编辑：)