员工是企业信息安全的第一道防线：他们的积极作为将会使企业的安全防御体系固若金汤，而他们的不作为则将导致安全防御体系漏洞百出，从而被攻击者利用。法规遵从不仅包括保护企业的信息系统不受来自恶意软件（如电子邮件）的威胁，而且还包括确保公司遵守行业标准，例如HIPAA（健康保险流通与责任法案）、PCI DSS（支付卡行业数据安全标准）和NERC CIP（北美电力可靠性协会关键基础设施保护标准）等。

　　根据这一理念，在企业的法规遵从工作中，我一直非常注重员工培训和定期磋商。那么，应该如何培训员工，以增强其法规遵从意识，从而减轻安全团队超负荷工作的压力呢？下面是一些这方面的例子。

　　新员工的上岗培训

　　第一印象至关重要，尤其是当新员工刚进入公司的时候。此时，应该使新员工了解公司对信息安全和技术的适当使用政策的要求。在与员工的谈话中，公司总裁亲自向新员工强调他们在公司信息安全体系中的重要作用将是很有好处的。谈话的形式可以是一段录像或流视频。当然，如果CEO能够与新员工就这一问题进行面谈的话，那将是再好不过的了。

　　除了CEO的训示以外，CISO（首席信息安全官）也应该向新员工阐明其需要遵守的特定安全要求。严格说来，CISO的谈话应该包括以下内容：

• 扼要介绍推动公司信息和物理安全需求的外部法律法规。这些法律法规可能包括关于医疗设施的HIPAA、关于上市公司的萨班斯法案（SOX）、关于信用卡处理机构的PCI DSS以及关于公用事业设施的NERC CIP等。
• 详细审查适当使用政策。要强调电子邮件和Internet的适当使用十分重要，以确保在企业明令禁止的情况下员工不能登录赌博或社交网站。
• 重申出入证的使用要求。这些要求可能包括一些规定，例如不得将出入证转借给其他员工。
• 告知新员工当其出入证、笔记本电脑、手机或智能电话丢失时应该向谁报告。

　　在这些谈话结束时，建议为每位新员工发放一份包含签收页的企业适当使用程序，员工必须在签收页上签字声明他或她已经知悉该适当使用程序。如果以后员工违反了适当使用程序而声称其不知道此要求，则这份签名将非常有用。

　　午餐研讨会

　　一种培训员工良好的安全实践的方法是利用“棕色纸袋”培训研讨会（因自备的午餐常用棕色纸袋，故又名午餐研讨会）。这种方法成本低廉，而且引人入胜。为了提高午餐研讨会的出席人数，这些研讨会应该遵循“我能从中获得什么好处”的原则。从本质上说，这种方法有点像营销技巧：午餐时间培训研讨会应该围绕员工认为可能有用的主题开展。

　　例如，培训可能是针对家用计算机的安全问题。讨论的指导原则本质上仍然是政策的适当使用，但其目的是教授员工如何保护他们自己以及他们的家用计算机。幸运的是，这种培训也强化了员工良好的安全习惯。反过来，员工往往又会将这些良好的安全习惯带回到工作环境中。

　　领导层培训或沟通

　　领导层也是用户，因此使领导人员（比如首席信息官、首席财务官、财务主管、业务单位主管等等）了解当前的安全问题也极其重要。领导层培训可能是使其意识到信息安全问题并防止发生遵从性问题的一条有效途径，而且不需要花费太多时间。

　　举例来说，新闻可能报道了一个重大的信息安全事件（例如，美国零售业巨头TJX公司或美国信用卡支付处理服务商哈特兰支付系统公司的信用卡信息泄露，或者一家本地公司包含大量个人信息的笔记本电脑丢失等）。这些都是谒见领导层并与其沟通的机会，你可以为其召开一个关于该安全事件的10—15分钟的情况介绍会。如果领导层没有时间听取情况介绍，那么你可以撰写一份简短的白皮书——最好不要超过一页，对该安全事件进行总结，然后发送给他们。

　　这些情况介绍或白皮书应该包括下列要点：

• 简明扼要地总结该安全事件。
• 简要说明为什么你的公司可能或不可能发生同样的安全事件。
• 提出可以防止此类安全事件发生的一系列保护措施，或者说明通过修改当前的政策或实践为什么可以防止你的公司发生此类安全事件。
• 如果领导层愿意，向他们提供关于该安全事件的更详细或更有针对性的报告。

　　演习

　　每六个月左右举行一次信息安全演习。如果做得好，演习将十分有趣且非常有益。例如，我最近成功举行的一次演习是使用一系列的PowerPoint演示文稿模拟了一个故障情景。在这些演示文稿中，我提供了多张事件进展的照片供员工观看。在一个服务器发生故障的演习中，员工在排除该故障时发现，服务器故障的部分原因是由于员工的扶梯跌落，从而将电缆从服务器和机架设备中扯出。因此，幻灯片显示了每种故障排除和诊断顺序的不同照片或示意图。

　　这些演习的用意是集思广益，改进企业当前的适当使用程序，以便当类似的真实事件发生时可以更好地做出响应。信息安全演习的内容还可以更加全面，也可以包括非信息安全问题。

　　专门工作组

　　当我在一家公司刚开始解决PCI DSS法规遵从问题的时候，我们的信用卡处理安全状况不够理想。当时，我没有向员工大肆宣扬这一问题并采取成本昂贵的整改措施，而是通过成立一个PCI DSS委员会来解决这一问题，PCI DSS委员会的成员包括相关部门的经理和员工。我们每周开会磋商一次，每次会议对PCI DSS “十二诫律”（即PCI DSS的12条要求）的具体内容进行简单培训，然后讨论确保符合法规遵从要求需要采取的行动。

　　成立专门的工作组有助于解决法规遵从问题，因为它不但使员工参与解决法规遵从问题的工作，而且减轻了焦虑不安的安全团队的压力，因为此前安全团队似乎承受整个企业的法规遵从重担。

　　该委员会的多数成员认为，这种方法不仅在符合法规遵从要求方面非常有用，而且也使问题变得更容易理解。此外，通过给该委员会培训PCI DSS的全部内容，他们还可以协助安全团队执行公司其他领域的法规，从而使安全团队可以腾出更多的时间集中解决其他问题。

　　你也可以使用这种方法开始HIPAA、SOX或NERC CIP等法律法规的遵从工作。

　　这些方法的中心思想就是利用一切机会对员工进行教育和培训。一方面，要认识到员工对于成功保护企业信息安全至关重要。另一方面，还要认识到员工不仅是企业信息安全实施方案的组成部分，而且还是方案的执行者，从而成功打造一支更加符合法规遵从要求、安全团队压力更小的员工队伍。