呼，快接近尾聲了，前幾天都有提到人或組織，接下來就談談對人的溝通吧，我會分成上/下/內/外四個面向來簡述，今天要談的是對公司內的同仁/使用者的資安意識提升。

要先知道，企業內的使用者對資訊/資安的認知可能停留在"聽過"但不知道那是啥的狀態，請先想像今天有個朋友跑來跟你說:

ㄟ老王，我們要一起做核安! 核安阿，核能安全啊
蛤?我們為何要在意核安?核安是電廠的事啊 (滿臉疑問)

又或是用了不對的方式說明資安這件事，都會招致反效果。

我們啟動大內宣的核心目的，是在提升全體人員的資安意識，從上到下，從行銷/財務部門到製造/倉儲班。
跨了這麼多元的單位和階層，在準備時我們必須具備翻譯成說白話文的能力，轉化成以下特性的語言，以利多數人都能接受和看懂:

• 1.【淺顯易懂】:請暫時放下那些專業術語，用較為口語的方式，把深具專業的事情說得讓外行人一看就懂、栩栩如生，大內宣的效果將事半功倍。
• 2.【利他視角】:如同上面說:資安關我啥事，人們對於跟自己沒關的事情都會略過，因此找出各項資安措施推行時的利害關係，讓他知道這個跟自身是切身相關，就會認真看待。
• 3.【時事參考】:如果剛好有時事議題(ex:x油/x塑/台x電)不妨借力使力，用一個借鏡和反思的角度來強化對資安認知。
• 4.【明確定義】:企業內同仁對於陌生的東西，初次接觸最好明確的定義OK/NG的參考例子，如同考試中是非題永遠比選擇題/申論題容易，把要宣傳的事情中"允許"/"不允許"定義好將有助於同仁理解。

有了上述的內容轉化後，我們就來實施以下的內容:

一、週期性宣導通告

建議是每個月至少發一次，猶如衛教資訊般，把應注意事項、公司資安規定貼上去，或是搭配海報，張貼於公司電子公告中，每個月可以換不同的主題，例如一月公告是談郵件安全，二月公告端點安全，讓公司同仁每個月都看到不一樣的資訊。

二、時事型宣導通告

此類宣導通告則是當有重大資安事故新聞(Ex:wannycry全球流行/台積事件...etc)出來時，或是FW/SPAM/IPS等系統近期測得資安攻擊異常升高，藉由這些事件的出現發出宣導通告，讓同仁於短期內提高警覺戒備，借鏡他人以免成為下一個受害者。

三、定期資安教育訓練

這兩年由於政府積極推動資安，打出"資安即國安"的口號，沒記錯得畫公務員每年至少有3小時的教育訓練，企業也可比照，將所有人召集於會議室/訓練室，或是藉由共識營等活動進行三小時的資訊安全教育訓練，內容包含公司的資安政策/措施宣導、預防性觀念輸入、安全的操作行為、異常時緊急動作以及疑問聯絡窗口...等。
出席者務必簽名並且完成考試，這樣的紀錄對於公司營運合規稽查時很有幫助。

四、防釣魚詐騙演練

上面說了這麼多宣導的實施，總不能讓他們聽聽就忘了。社交工程演練就是一個很好的驗證工具，透過不定時的演練可以測得哪些是高風險(都沒在聽課/防範)的人員，演練也可讓企業同仁實際感受風險跑到面前的真實感，非常有效。
做社交工程釣魚信演練，強力推薦一個工具，免費的:趨勢科技 Phish Insight ，藉由裡面的範本可以快速對公司發送一波演練信件並產出統計數據。

(圖片引用自安資捷)

五、違規提報

【懸首示眾】【殺雞儆猴】這個千年老方法，放到了今日仍然很有用的。每當宣導發了幾百回、說破嘴跑斷腿仍然會有內部員工違規，這時候把違規的人、事、時、地、物列舉出來，並搭配管理辦法中的獎懲條例，公告處分。當然，為了避免傷了皇城內的河蟹，使得流動率上升，違規提報的力度可以依公司文化有所拿捏。

最後，大內宣不僅是一般的政令宣導，也可以是很生動有感有共鳴的傳達知識，而且透過這些宣傳手法，全公司上下將會知道我們是真的把資安當作一回事，後續政策措施推動起來將更能借力使力。