2026新版《SANS网络安全意识与文化成熟度模型》详解,建议收藏!

admin
admin
admin
0
文章
0
评论
2026-02-03 01:11:40 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: SANS2026网络安全意识与文化成熟度模型包含五个阶段,从尚未建立至优化与韧性。文档指出计划应超越合规,聚焦人为因素,通过专职团队及跨部门协作促进行为转变与长期文化变革。模型提供了各阶段特征、指标及进阶路线,帮助组织建立可衡量安全文化,提升网络韧性。 综合评分: 90 文章分类: 安全意识,安全培训,安全建设,解决方案,社会工程学

cover_image

2026新版《SANS网络安全意识与文化成熟度模型》详解,建议收藏!

原创

HardyXie HardyXie

超安全

2026年2月2日 08:35 河北

前言

SANS研究所于近期发布了2026新版《网络安全意识与文化成熟度模型》电子书。此次更新基于来自全球各地安全意识与文化专业人士的深度见解,重点在于澄清安全意识与文化成熟的五个阶段指明安全意识计划进阶路线图使SANS安全意识与文化成熟度模型变得切实可行、可及。如果您也关注网络安全意识与文化领域的话题,无论是想从头开始建立安全意识计划,还是强化现有安全意识计划,这份权威报告都可以提供有益的参考。

一个较成熟的安全意识计划不仅仅是将安全意识与知识传递给/告知于全体员工,更要帮助员工更好地理解安全的重要性、理解安全与本职工作的关联与自身责任,并促使员工在日常工作中做出正确的安全决策与行为。当安全意识计划传递清晰、目标明确时,安全意识提升将成为保障更安全的工作环境促进安全团队与广大员工形成抵御网络威胁的“统一战线”和深化组织信任的基础

安全意识计划应随着时间的推移不断改进与优化。SANS 2026版“安全意识与文化成熟度模型”提供了一个经广泛验证的、结构化的框架该模型能帮助组织了解当前的安全意识与文化成熟度水平、明确成熟度进阶的行动步骤更好地与领导层沟通安全意识与文化战略,并逐步将安全理念融入组织文化。它将成熟度分为五个明确的阶段,并解释了从基础工作过渡到持续的、全组织范围的安全文化的过程中会发生的变化。该报告有助于安全与风险管理专业人士将网络安全意识转化为可衡量且具有战略意义的工作,推进组织层面的长期文化变革,而不仅仅是一项安全意识培训任务

通过该报告,读者可清晰了解到:

  • 安全意识与文化成熟度模型的五个阶段具体是如何定义的?
  • 安全意识计划在不同成熟度阶段呈现的特点及员工表现情况?
  • 为何许多组织的安全意识计划会陷入“以合规为重点”,及如何迈向下一个阶段?
  • 不同成熟度阶段如何构建度量指标体系、确定行为改变重点,以及确保领导力/战略一致性?
  • 如何积累势能、调动员工积极性、获得领导层持续支持,并逐年衡量安全意识计划成效?

安全意识计划成功的关键

越来越多的组织和安全领导者认识到:任何一个组织的网络安全不再仅仅由安全技术防御所定义,其根本取决于人(员工)。据Verizon《数据泄露调查报告(DBIR)》连续五年显示,超过60%的数据泄露事件涉及“人为因素”,这表明组织内全体员工的行为影响组织安全态势的最关键素之一

随着安全技术防御措施的日益强化,攻击者将焦点逐渐转向员工的日常行为、习惯和决策。这促使许多组织重新思考安全意识与文化工作的开展方式。安全意识计划必须超越基础合规要求,转向结构化、战略性的举措,以促进风险行为转变,并最终实现长期文化变革

从全球实践来看,成功的安全意识计划都具备以下“四个共同”特征:

1)清晰聚焦人为因素风险

以“人”为突破口的网络钓鱼与社会工程学攻击仍是最主要的人为相关威胁,因此安全意识计划必须优先培养员工识别此类攻击并自信应对的能力。

2)专人负责与持续投入

报告显示,安全意识计划成熟度、安全意识团队规模和安全意识计划存续时间之间存在强相关性。拥有专职安全意识与文化人员和长期领导层支持的组织,更有可能影响员工行为并塑造安全文化。

3)良好的内部合作伙伴关系扩大影响力与覆盖面

当安全团队与组织内其他利益相关部门(尤其是人力资源、市场营销与传播,以及运营部门等)建立起紧密的合作伙伴关系,并共同推进安全意识计划时,其实施效果会显著提升。这种合作关系能将安全理念更好地传播和融入日常工作中。

4)具备强效沟通及吸引员工参与技巧

正如2025版报告中所强调的,安全影响力往往与安全专业知识同等重要。当安全意识计划沟通清晰、让安全理念更易理解,并吸引员工全年保持定期互动时,就容易取得成功。

以上这些战略要素构成了“安全意识与文化成熟度模型”的核心基础,它们能够指导组织制定更具可扩展性、强化员工行为并促进安全文化长期发展的安全意识计划。

安全意识与文化成熟度模型解析

SANS“安全意识与文化成熟度模型”为组织了解当前所处的成熟度水平、提升领导层与员工参与度、明确不同阶段的度量指标,以及如何进阶到更高阶段提供了一个清晰的基准和行动指南。

该模型将成熟度划分为明确的五个阶段,每个阶段均概述了该级别可实现的价值、安全意识计划特征与员工表现、建议的度量指标以及进阶所需采取的行动步骤。有助于安全意识与文化计划负责人能够更好地对标基准找差距、向领导层有效沟通安全意识与文化建设的战略优先级,并确定下一步重点改进的工作方向。

SANS“安全意识与文化成熟度模型”分为五个阶段,从低到高依次是:尚未建立、合规导向、促进意识提升与行为转变、长期文化变革、优化与韧性。

第一阶段:尚未建立(Non-existent)

1.1 阶段描述

第一阶段意味着组织尚未制定正式的安全意识计划。员工不了解自己可能会成为攻击目标、不清楚自身行为对安全的影响,也不知道出现安全问题时该如何应对。安全相关话题鲜有被提及和讨论,未明确对员工的安全意识与行为期望,尚未建立系统性的安全沟通或培训机制。因此,员工只能依靠个人判断或过往经验行事,这往往会导致“人为因素驱动型”安全事件的发生。

1.2价值呈现

处于第一阶段的组织,由于根本就没有制定和实施安全意识计划,几乎得不到任何价值,反而这种缺失带来了巨大风险。组织可能无法满足合规要求,且极易受到人为因素引发的安全事件影响。当员工不了解网络安全与日常工作的关联时,攻击者即便发起简单的社会工程学攻击也能轻易得逞。

但组织意识到处于第一阶段本身仍具有价值:这是一个重要信号和契机,初步制定一个安全意识计划和实施方案,可以为未来系统性地逐步打造安全文化奠定基础。

1.3 计划特征

目前尚无正式的安全意识提升计划,尚未成为领导层讨论议题,或未得到领导理解和支持。

1.4 员工表现

员工不了解组织对他们的安全期望,在日常工作中也很少展现出安全行为。

1.5进阶步骤

要跨越这一阶段,关键在于明确具体的安全意识提升需求,并获得领导层支持,为正式实施安全意识计划奠定基础:

  1. 识别组织必须遵守的相关法律法规、监管要求或行业标准
  2. 确定满足合规要求相关的安全意识培养、培训与教育要求
  3. 指派相关负责人主导安全意识计划的制定与实施
  4. 开始制作或获取能够满足最紧迫需求的培训材料
  5. 向全体员工传达初步的安全意识与行为期望
  6. 跟踪培训、政策确认等基础任务的完成情况

第二阶段:合规导向(Compliance-Focused)

2.1 阶段描述

第二阶段的安全意识计划主要是为满足合规或审计要求而存在。安全意识培训每年开展一次或根据需要临时开展,相关期望值要求较低。领导层将安全意识计划视为一项必须完成的任务,而非降低安全风险的举措,且培训内容与组织实际面临的人为因素相关威胁几乎没有关联性。

2.2 价值呈现

第二阶段的安全意识计划能确保完成必要的安全意识培训,并履行相关合规与监管义务。虽然这一阶段还不会直接影响员工行为,但它为更具战略性的安全意识计划建立了基础框架,同时,它也为争取领导层的参与及支持创造了机会、凸显了当前存在的差距,并推动组织将安全意识从一项合规活动转变为一项重要安全职能创造了条件。

2.3 计划特征

在这个阶段的安全意识计划具有以下特征:

  • 无战略性规划:培训主题的选择缺乏长远眼光和明确的行为目标
  • 领导支持有限:领导层只是为满足合规要求而认可安全意识计划
  • 缺乏专职管理:由某位身兼数职、需平衡多项工作的人员管理(安全意识只占其一部分时间和精力)
  • 最低限度的协作:安全意识计划在很大程度上独立于人力资源、市场营销与传播部门和安全团队进行运作

2.4 员工表现

员工将安全意识培训视为一项强制性要求,而非对工作有帮助的事情

  • 参与度低:员工能够完成培训,但不理解其背后的意义与本职工作的相关性
  • 期望不明:感觉安全政策复杂(难以执行)或与日常工作脱节
  • 冒险走捷径:员工依赖个人判断和过往经验,往往以增加安全风险的方式行事(将便利或效率置于安全性之前)

2.5 达成时间:一个月

大多数组织能快速达到该阶段,因为其核心聚焦于满足基础性的合规要求,而非对员工的行为产生实质性影响。

2.6 建议的度量指标

该阶段的度量指标侧重于完成情况而非效果:

  • 完成年度安全意识培训的员工比例
  • 确认/签署可接受使用政策的员工比例
  • 已分发的安全意识宣传材料数量
  • 已开展的安全意识培训场次/课程数量

2.7 进阶步骤

要从第二阶段更进一步,就需从合规导向转向风险导向。核心目标是争取领导层充分理解与支持、明确清晰的目标与期望,并识别能降低主要人为因素风险的关键行为。安全意识计划负责人应与安全团队密切合作,找出组织内存在的“人的漏洞”,并制定定期宣贯沟通及员工参与计划:

  1. 争取领导层充分支持,让安全意识提升发挥更具战略性的作用
  2. 制定一份安全意识提升计划项目章程,明确目的、目标和职责
  3. 指定一名专职的安全意识计划负责人
  4. 在安全团队协助下,识别主要的人为因素风险
  5. 确定能降低这些人为因素风险的关键行为
  6. 开始制定强化关键行为的安全培训与沟通计划

第三阶段:促进意识提升与行为转变(Promoting Awareness & Behavior Change)

3.1 阶段描述

第三阶段标志着安全意识计划超越了基础合规要求,组织开始推动真正的行为转变。该阶段会识别出组织面临的主要人为因素风险,并将安全意识培训和沟通重点放在能够降低这些风险的关键行为上。年度培训被持续强化所取代,安全意识计划变得更有针对性,效果更具可见性,并与不同岗位员工的安全需求保持一致。

3.2 价值呈现

第三阶段的安全意识计划通过帮助员工理解自身在安全方面的关键角色和重要作用,并将所学安全知识应用于日常工作中,从而在降低人为因素相关风险方面取得了实质性进展。该阶段员工参与度明显提升,安全行为得以显著改善,并初步证明安全意识计划有助于促进最佳安全实践在组织内的广泛践行。通过在安全沟通中建立信任、明确方向和保持一致性,第三阶段为长期文化变革奠定了基础。

3.3 计划特征

该阶段的安全意识计划展现出日益完善的结构、明确的目标和良好的内部合作伙伴关系:

  • 领导层参与:领导层充分理解管理人为因素风险的重要性,并支持计划进一步深化
  • 专职负责人:由一名全职安全意识专业人员指导计划实施,并与其他团队密切合作
  • 行为导向:安全意识培训和宣贯聚焦于与人为因素风险直接相关的特定行为
  • 跨部门协作:与人力资源、市场营销与传播和安全团队密切合作,扩大计划影响力

3.4 员工表现

员工开始认识到安全是自身职责的一部分,并能做出更明智的安全决策

  • 主动报告:员工更频繁地上报危害组织安全的可疑信息和活动
  • 更高的参与度:员工在安全培训和沟通后会积极提问并参与讨论
  • 行为采纳:员工在工作和生活中应用安全培训中学到的最佳实践

3.5 达成时间:6-12个月

大多数组织在这个时间段内就能看到可衡量的行为转变,尤其是当安全意识计划聚焦于一些高影响力行为,并持续加以强化时。

3.6 建议的度量指标

该阶段的度量指标开始反映行为情况而非参与情况,此阶段建议新增的指标包括:

  • 钓鱼邮件点击率和上报率
  • 多因素身份验证或密码管理器的采用率
  • 恶意软件或受感染设备事件的数量
  • 内部安全政策违规事件的频率
  • 数据处理活动违规行为或事件
  • 移动办公设备发生丢失/被盗情况

3.7 进阶步骤

要进入第四阶段,需要从改变个人行为转向塑造整个组织的集体态度和共同价值观。这需要提高领导层在安全意识计划中的可见度、强化沟通渠道、进一步提升参与度,并深入了解员工对安全的看法。安全意识计划负责人应着重培养更广泛的安全责任意识,并将安全意识融入团队层面的交流和流程中:

  • 定期向领导层汇报计划进展情况和成果
  • 开展问卷调查以了解员工对安全的态度和看法
  • 基于新出现的风险,定期审视并完善计划目标
  • 拓展沟通渠道,包括实施安全意识倡导者/安全文化大使计划
  • 将安全意识融入更广泛的业务运营中
  • 简化并精简安全政策(以便实际落地)
  • 提升安全团队的协作能力,并为其他部门赋能

第四阶段:长期文化变革(Long-Term Culture Change)

4.1 阶段描述

第四阶段标志着安全意识已成为组织文化的一部分。此时,安全意识计划不再仅仅关注个人行为,而是致力于塑造整个组织对于网络安全的共同信念、态度和期望。员工开始真正认同网络安全的重要性并将其置于优先地位,能够将其融入日常流程和工作活动中。

4.2 价值呈现

达到第四阶段能带来显著且持久的价值。安全成为日常决策的一部分,员工主动践行最佳安全实践,业务部门和职能团队在项目初期就考虑安全因素并寻求安全部门指导意见,而不是在发生安全问题后才亡羊补牢。强大的安全文化能够增强安全技术控制措施的有效性,增进团队间的信任,并营造出安全行为是一种常态而非例外的组织环境。该阶段还通过协调人员、流程和领导层的期望,为组织打造长期网络韧性奠定了基础。

4.3 计划特征

该阶段的安全意识计划结构完善、合作深入,且获得领导层的明确认可与支持:

  • 持续的领导层支持:领导层积极强化安全期望,并定期了解进展情况及成效
  • 专职安全意识团队:组建了一支由多名全职安全意识专业人员组成的团队,负责安全沟通/传播/培训、促进员工参与及打造组织安全文化
  • 定期审视计划:每年对安全意识计划进行正式审视,以评估进展并找出改进空间
  • 全组织范围沟通:安全意识无缝融入新员工入职/晋升/转岗、团队日常工作、项目流程和管理层沟通中
  • 安全大使/倡导者计划:安全大使或倡导者帮助将安全意识推广到各个团队、地区和业务部门

4.4 达成时间:3—10年

影响组织文化所需的时间比影响员工行为要长得多。在整个组织范围内打造安全文化可能需要3至10年,具体取决于组织的规模大小、业务复杂性、组织发展阶段及其现有组织文化等。

4.5 员工表现

员工展现出对安全工作的主人翁意识和共同责任感

  • 同伴指导:同事之间相互帮助与提醒,共同践行安全规范,并分享正面范例
  • 主动参与:业务部门与职能部门向安全团队主动寻求更多安全相关材料、建议或支持
  • 开放沟通:对于自己犯的错不隐瞒,会尽早报告事件、人为错误和安全顾虑,而不会感到不安(心理安全感)
  • 持续改进思维:员工提出改进安全制度、流程或培训体验的有益建议

4.6 建议的度量指标

在这一阶段,度量指标有助于组织了解员工对安全的看法、文化优势和改进机会,新增指标包括:

  • 关于安全方面的信念、态度和看法的调查结果
  • 向安全团队请求简报、培训或文化支持的次数
  • 提交的安全政策/流程改进建议数量
  • 员工参与非强制性安全活动的情况(培训、模拟演练、安全日/周/月等)
  • 员工对安全政策和安全团队支持情况的反馈

4.7 进阶步骤

要从第四阶段发展到第五阶段,组织必须将安全意识和文化从强大的内部能力提升为与业务目标对齐的战略职能。这需要深化领导层参与、将安全文化洞察与组织业务结果关联,并进一步优化度量指标。重点从强化安全文化转向展示安全文化如何为组织提升网络韧性、降低安全风险,及提升组织绩效提供支持

  1. 开发一个统一的仪表板,将安全文化、行为和技术指标进行整合
  2. 使安全意识与文化报告与NIST标准或CIS控制措施等框架保持一致
  3. 使安全意识度量指标与领导层的战略重点保持对齐
  4. 标准化各地区和各部门的安全期望、行为和文化
  5. 安全团队领导与业务团队领导之间加强互动协作
  6. 持续完善沟通与强化策略

第五阶段:优化与韧性(Optimization & Resilience)

5.1 阶段描述

第五阶段代表了最高成熟度水平。在这一阶段,安全意识和文化计划已完全融入组织战略,并持续展现出可衡量的影响。安全意识计划为领导层提供深度洞察,员工行为和组织文化改善能够真正起到降低风险、支持业务重点并增强组织网络韧性的作用。数据为决策提供依据,改进工作持续进行,安全意识被视为整个组织的一项战略资产

5.2 价值呈现

处于第五阶段的安全意识计划能为组织带来明确的价值。它使领导层能够清晰地看到文化、行为与风险降低之间的关联,以及其如何支持业务重点并最终助力组织实现使命。在强大的安全文化基础上,安全技术控制、流程和团队行为都能更有效地运作。这一阶段使得组织能够自信地适应新威胁、新技术和新的监管要求。

5.3 计划特征

在这个阶段,安全意识计划展现出业务战略一致性和基于数据驱动的决策制定:

  • 融入业务战略:安全意识和文化举措为组织目标和安全重点提供支持
  • 持续度量:定期收集数据洞察与反馈,并据此随时间逐步调整计划
  • 框架对齐:安全意识指标体系与NIST标准和CIS控制措施等公认框架保持一致
  • 定制化报告:为不同受众提供与其职责和风险状况相匹配的定制化洞察
  • 对标能力:安全意识计划能将自身成熟度和文化实力与同行组织进行比较

5.4 达成时间:持续进行

第五阶段通过持续改进来维持,而非作为最终里程碑来完成。需要领导层的深度参与、不断衡量和调整优化,才能保持这一成熟度水平。

5.5 员工表现

员工和领导层都对安全工作展现出更成熟且持久的承诺

  • 共同承担责任:各个团队明白其自身决策对组织风险的影响,并采取相应行动
  • 战略参与:领导层利用安全意识计划提供的洞察指导决策和资源分配
  • 信心与韧性:员工能够自信地识别和应对各种安全威胁,使组织能够长期保持准备就绪状态

5.6 建议的度量指标

在这一阶段,各项指标展现了组织层面的影响和长期韧性,新增指标包括:

  • 安全事件数量变化趋势
  • 客户信任度/品牌声誉
  • 事件检测时间和恢复时间
  • 内外部违规事件数量
  • 安全行为与事件数据之间的关联性
  • 与行业同类组织的对标比较

5.7 维持和巩固该阶段的步骤

维持第五阶段需要基于数据、领导层优先事项和不断演变的安全威胁持续进行改进。核心目标是保持文化优势、维持韧性,并确保安全意识始终是一项战略资产。安全意识计划负责人应着重将洞察融入管理层决策、扩大组织内部协作,并根据需求不断调整安全信息传递、安全意识培训和衡量方法:

  1. 保持统一的指标仪表板,并随时间推移不断完善
  2. 利用洞察支持领导层决策和战略规划
  3. 继续使安全意识计划报告与安全框架保持对齐
  4. 定期评估安全沟通与安全培训方法
  5. 支持跨区域和业务部门之间的协作
  6. 监测新出现的风险,并相应调整计划

结语

SANS“安全意识与文化成熟度模型”历经十余年演变,凝聚了数百家组织的一手实践经验,这些组织在模型的设计与发展过程中发挥了重要作用。如今,全球成千上万的组织都在运用该模型评估自身的安全意识与文化成熟度水平,并以此指导安全意识与文化计划的持续改进。无论您的组织从哪个阶段起步,该模型都能够提供有益的参考。

凭借多年实战经验以及行之有效的科学方法,超安全文化研究院致力于为组织提供所需的安全意识与文化专业知识、框架和落地支持,助力不同行业不同规模的组织自信地迈向更高成熟度阶段,打造更具韧性的网络安全文化。

*版权声明:

本文由超安全文化研究院编译,仅发布于本公众号,未经授权同意不得以其他方式复制、转载发布/发表。公众号留言可申请转载,转载需注明出处:超安全。欢迎加入超安全文化私享群获取英文原版报告,深入探讨交流。

*往期高赞/精选文章推荐阅读:

  • 网络安全意识培训一年到底开展几次合适?
  • 传统网络安全意识培训收效甚微,如何破局?
  • 高管网络安全意识培训:策略与禁忌
  • 员工认为钓鱼演练是妥妥的“整人”,安全团队该如何破局?
  • 为何员工会中招钓鱼邮件?起决定作用的是安全文化,而不是安全培训
  • 涉及安全意识培训合规要求的全球法律法规、标准及框架有哪些?
  • 让员工更加重视网络安全风险的五种沟通策略
  • 如何向高管层展示网络安全意识的业务价值?
  • 网络安全文化:搞定安全技术解决不了的问题
  • 为什么你搞的网络安全宣传周活动效果不好?

欢迎加入超安全文化进化私享群!

  • 私享群定位:超安全文化进化私享群是安全圈唯一一个面向网络安全意识宣贯与培训、人为因素安全风险管理、网络安全文化建设专业人士/研究者/兴趣爱好者的高端社群。

  • 私享群愿景:让“人的因素”不再成为安全短板,让员工成为“最强大”的一道防线,让网络安全文化入脑、入心、入行!

入群方式详见:欢迎加入超安全文化进化私享群,一步领先,步步领先!

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:超安全 HardyXie HardyXie《2026新版《SANS网络安全意识与文化成熟度模型》详解,建议收藏!》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0