安全教育培训方案

security-education-threats

员工安全培训不应该只是将员工召集起来,在课堂上宣读一下公司的安全规章制度和讲解一两小时PPT文档。安全意识认知教育也不应该只是讲一些故事和道理,并且让员工签字画押以示公司进行了这项培训活动。

简单说,员工安全培训不是安全文书下达渠道,也不为彰显安全保卫力量,更不是留个证据给审计人员看的。安全培训的目标是将信息安全相关的倡议内置进组织业务流程和商业行为准则之中,让员工在日常活动中时刻拥抱安全。

员工安全培训的目标是让员工们拥有正确的安全行为,而不仅仅是单方面倾倒一些安全知识。昆明亭长朗然科技有限公司James Dong补充说:在安全培训达到既定目标的同时,也会在很大程度上促进整个信息安全管理体系的目标,即保障商业成功,保护知识产权、信息资产和计算资源。

为达到甚至超安全意识培训的目标,在战略上,我们需要建立可行的安全培训方案,我们需要寻找能够带领队伍和跨部门营销的专职干部。因为所有的安全教育计划基本上都是内部营销活动,在整个组织内提高对安全风险的认识和推广良好的安全实践需要内部沟通高手和员工关系高手。

我们不能凭空拍脑袋说谁谁需要哪些安全意识和能力,我们需要调查分析安全认知现状和安全需求,每位员工和每个部门对安全的认识和理解会各不相同,对安全控管的需求也会体现出差异,员工们的角色和职责不同,各个部门和业务单元都有各自关注的偏重,这些无疑将是成为安全教育培训方案的输入。

尝试找一些有岗位代表性的和关键的人员进行访谈,问问如下问题:
您的工作中有遇到哪些安全风险?
为什么您认为是安全风险呢?
您认为我们应该怎么处理这种风险?
您最喜欢或者您认为什么样的沟通方式最为有效?

一旦您确定有了安全教育方案的要求,您将需要分配资源,组建队伍,并决定品牌。

将员工、部门甚至业务单元进行分组,列出必要的安全意识主题,制定安全意识培训矩阵,并开始设定安全意识教育培训计划。安全培训计划无疑需要涵盖年度的员工安全意识培训和新员工入职安全意识培训,此外,还需要更多各式各样的安全意识沟通活动。

安全教育方案制定出来之后,这一方案得到了组织高层领导和全体员工的支持。它具有强制性和选择性的元素,是正面和有激励性质的。

如果您准备实施安全教育培训方案,如下几点小技巧分享给您:

1.一定要得到高级管理层的支持。当行政总裁说安全非常重要,并且提倡一些安全做法时,员工会更加注意。
2.争取优质和恰当而不是大量的资源来执行计划,重要的是要建立强有力的关系,汇聚一批来自组织各个单元(部门)的有影响力、对安全教育有激情的人,并不断加强这些关系。
3.搜集安全问题,挖掘意识培训需求。问问那些最熟悉工作场所环境的一线员工,也问问经理们和安全人员,问问他们组织面临的安全隐患和威胁。
4.如果内部资源不够丰富,建议寻求专业的安全意识培训咨询顾问服务,即便顾问们对公司和业务的熟悉程度不如内部人员,但他们的经验值得借鉴和学习。

安全培训方案的实施其实正好反映了公司的企业文化,通常我们建议每季度进行一次较大规模的全员安全意识沟通计划,零星的安全意识推广则可随时随地按需进行。

安全教育培训方案要有始有终有所输出,就需要衡量绩效和不断改进。昆明亭长朗然科技有限公司建议可以测量的数值包括:参加安全培训活动的人数、培训资源如安全教育视频及文档等的点击数、安全意识题目的正确回答率、人为原因造成的安全事故数量……

昆明亭长朗然科技有限公司提供安全意识培训计划咨询及实施服务,帮助各类型的组织机构评估安全意识认知现状及需求,以及制定安全意识教育目标和计划。欢迎和我们联系洽谈业务合作。

除了分享信息安全意识教育解决方案之外,我们也愿分享一些产品和服务,以便有需求的各安全培训负责人能能够有所收获。

安全意识教育还是安全系统设计?

如同社会上少数人不再相信教育能够改变未来一样,几乎每年都有少量安全业者质疑安全意识培训的价值,但是人们仍然希望孩子们能读好的大学受到好的教育,安全管理负责人仍然在对员工们实施着基础的安全认知培训。

我们的确需要反思,我们为什么对员工要搞安全意识教育呢?在员工们在安全认知上太“菜”,还是我们的系统在进行安全设计的时候没有考虑到员工们的“菜”呢?我们相信两方面的原因都有,但是无论员工们的安全认知,还是系统的安全设计,都是在不断改进之中。

员工们除了每年接受一定时间的安全意识培训之外,实际上也会受到人类进化和社会环境的影响,比如看看电视了解了新型的电话诈骗,丢失了手机后更深入地认识到移动信息的安全等等,这是很自然不过的了。

说到安全意识教育,人们可能会说,“相关的知识理念人们都了解,甚至也认同,但是就是不遵守,别说黄赌毒,就问问抽烟、酗酒和熬夜的那些人们吧,他们可能比没有那些行为的人更理解其危害,然而有什么用呢?”这难道是教育的失败吗?昆明亭长朗然科技有限公司的安全培训顾问Alice Wong说:这种情形的确是教育的失败,但并不全是,准确点说更多是受众的选择问题。因为在有些情况下,人们并不选择正确的答案,这里面可能有外因和内因,外因往往是外界的刺激、环境的影响等等,内因则是对诱惑的抵制力、对行为的约束力等等。比如多年不见的老朋友相聚,往往都知道不应该喝得乱醉,但仍然会受酒桌文化的影响,又不得不在心里告诉自己去放纵一次。

上述的例子可能并不全适用于安全教育,多项安全事故调查表明:职场新人往往更容易成为安全事故的受害者,显然在多数职业人士的心目中,安全生产事故的后果不同于偶尔一次放纵对身体健康的影响。

设计可以不断地改进以增长安全性,但是相靠安全的设计来避免“菜鸟”们出现危险的行为路途漫长,甚至很不现实。比如菜刀可以用来切菜,当然也能误切手指,我们不否定可以在菜刀的设计上考虑误切手指的防范功能,但是又有多少人使用这样的“安全”菜刀呢?

有不少公司出台了安全相关的规章制度,但是却没有与员工进行沟通,员工们对安全的认知远达不到规章制度所期望的水平,这种情形便是安全知识教育的不足。

安全意识教育,不仅仅是给人们安全知识,更需要教会人们进行正确的安全选择。如果某人有正确的安全知识,但是却要故意捣烂,比如自残或实施破坏,那的确是教育的失败,但和教授正确的知识没有关系,只和选择有关。

向员工们提供正确的安全意识知识教育是永远不可少的,但是在选择方面,需要给予必要的外部刺激。虽然关于安全行为的选择权握在最终用户的手中,但是适当的外部刺激能够促进员工们在面临安全问题时进行正确的选择。

有不少公司出台并颁发了安全相关的规章制度,并且同员工们进行了必要的沟通和培训,但是员工们遵守不遵守这些都没有关系,违反规定的也不会受到任何惩罚,甚至都不会受到正义的谴责;严格遵守规章的员工们没有得到任何奖励,也不会成为道德的楷模。缺乏必要的奖惩刺激,让员工们不辨是非,碰到安全选择时甚至有些迷惘。

我们可以在技术甚至流程层面上对系统进行必要的安全设计,比如关于密码安全,我们可以在系统中启用复杂密码策略,但是能少掉必要的安全意识教育吗?能不告诉用户什么是所期望的复杂的密码吗?我们必须得告诉,无论是在密码输入栏旁边还是专门的密码安全培训,我们都需要同用户进行沟通,否则可能有用户不理解、不支持的行为,比如输入几次简单的不符合要求的密码被拒绝后便放弃或罢工了。

再回到最初的问题,为什么对员工要搞安全意识教育呢?我们的目标是想要员工们有正确的安全行为表现,我们首先要告诉员工们什么是正确的安全行为,然后要通过奖惩来刺激进行正确安全行为的选择。我们可以通过系统安全设计来帮助实现正确的安全行为选择,但是安全意识教育仍然很必要。比如想让一支队伍排列整齐,我们可以通过拉一条线来进行规范“设计”,但是这条线是个辅助,我们不告诉队伍如何好好使用这条线的话,不进行必要的知识灌输和行为激励的话,这条线仍然可能被拉得东倒西歪的。即使后来“设计”成一条钢管,也可能成为队伍拿来当棒使的武器或拔河用的器具。

system-security-design