将PDCA方法应用于安全意识教育

引子

PDCA相信很多人不陌生,对接触过管理思想的人来讲,更是熟悉,不过还是让我们简明快速地讲一下。PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Action(处理)的第一个字母,PDCA循环别称戴明环,是质量管理的基本方法,也是企业管理各项工作的一般规律。

对于信息安全从业人员来讲,PDCA也是建立信息安全管理体系ISMS的一项方法论。昆明亭长朗然科技有限公司信息安全意识课程开发主管董志军说:教育培训管理可以使用PDCA方法,信息安全管理可以使用PDCA方法,当然,交叉起来,作为人员安全管理的一个重要部分,信息安全意识教育培训也可以使用PDCA方法。

现状

在业界,很多技术型的信息安全专员不了解信息安全意识的重要性。而只有站在足够的高度的管理型安全专业人员才清楚:大部分的安全事件是由于最终用户对安全的无知或忽视而引起的,这些事件甚至包括造成重大损失的安全事故。通过恰当的信息安全意识培训,大部分由最终用户引起的安全事件可以得到避免。

信息安全意识培训负责人正逐渐认识到对最终用户进行安全培训的重要性,但是却往往没能掌握到科学的安全意识教育工作方法,更没能认识到培训工作需要得到持续不断地进行,并不断改进。正是因为如此,不少信息安全意识宣教活动都停留在表面,拍拍照,秀一下工作完事了,根本没有什么效果。

这种状况需要得到改变,否则必是安全管理的不完善。昆明亭长朗然公司董志军指出:由于信息安全管理的三大支柱是人员、技术和流程,即使技术型的安全专员多花出几倍力气和资源投入,也是无法有效解决人员意识和管理问题。

路子

针对人员安全意识培训的短板需要补齐,而具体该怎么做,则可参考PDCA方法论。其实信息安全意识培训负责人员可以和管理体系人员,以及职业的培训专员来探讨。如下,我们分享一点

P (Plan)计划,包括信息安全意识培训计划的制定。这里面包括搜集和分析安全培训需求并且制定培训目标,以及制定培训战略,创建培训计划。可以通过对最终用户进行水平的评估,来确定信息安全培训需求;也可以为最终用户划分到不同的类别中,以确定用户处于哪个类别,量身定制信息安全意识培训计划以便能最好地满足他们的需求。在计划制定方面,要保持安全培训的简洁,调整培训以便适应最终用户的水准,创建培训课程,以适合安全知识最少的最终用户。非正式的和基于电脑的培训在改进最终用户的安全表现方面最为有效,应该将这些培训方式应用到信息安全意识培训计划之中;正式的培训加上微培训和测试是保持安全意识在最终用户的头脑中处于更新状态的最好的方法;

D (Do)执行,根据上一阶段所制定的培训目标和计划实施信息安全意识培训活动,可能是通过外包还是内包的方式,可能是在线课程、互动挑战、“微培训”等多种形式。最终用户的安全知识水平可能参差不齐,毕竟大部分用户并不是安全方面的专家,培训时一定要尊重他们,让他们觉得受到了平等的对待。在培训活动开始前后,征求用户的想法和意见,倾听是很有效的沟通方式。

C (Check)检查,跟踪、评估培训的实施情况,在上一阶段,我们应征求用户的想法和意见。同时,也可以通过各种工具和手段来衡量信息安全培训工作绩效,比如通过在线调查表、测试考核等。

A (Action)改进,根据培训工作绩效评估结果,结合实际发生的安全违规情况,并与培训目标进行比较,找出培训中存在的问题,不断改进我们的培训流程,包括在课题的选择、交付的方式、培训的技巧等等方面进行持续的改善,如此便进入到下一个PDCA循环中去。

总结

不论一家组织规模如何,所处行业如何,都需要进行信息安全意识培训。使用PDCA方法,设定培训计划,执行计划并对最终用户的学习情况进行持续的检测可以不断改善信息安全,以及安全培训工作。有近半数的公司在提供了针对最终用户的信息安全意识培训之后看到了安全行为方面有明显的改进。

如果您对这个将PDCA方法应用于信息安全培训的实践有兴趣或意见,我们有一部公开课可供您参考和指正。此外,昆明亭长朗然科技有限公司在安全、保密与合规方面,提供专业的针对全员的培训解决方案,欢迎联系我们,了解详情或洽谈合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

自主可控仅仅是个技术问题吗?

国际竞争日益激烈,海外敌对势力对我们的改革开放成果虎视眈眈,窃密、入侵、渗透等方式和渠道越来越信息化。信息丢失、黑客入侵、间谍窃密案件时有发生,不仅关系到国家相关产业的核心竞争力与发展前景,也对国家安全也构成严重威胁。

“在当今世界,信息产业涉及经济、社会发展方方面面,也关系到国家的重大安全和发展利益。”昆明亭长朗然科技有限公司信息安全研究员董志军如是说。然而,我们的信息产业并非完全自由可控,部分核心技术和装备采用外国产品,存在安全隐患。

究其原因,信息产业领域特别是互联网产业,发源于美国,也是美国的传统优势,而我国在信息基础研究和应用研究投入不足,一些重要成果产业转化迟滞不畅,即使稍有转化,由于初期量产不足、平均成本高致使单位产品性价比较低、国际知名度欠缺市场竞争力较弱、再加之国际大腕对新生竞争力量的联合绞杀,在后继支撑不力的情况下,往往只会落得个半途而废。

说到这儿,您应该明白了,要取得自主可控,并非仅仅是个技术研究开发的问题,我们的芯片产业、操作系统产业、地理信息产业等等,这些年的总投入都远超过不少的发达国家,大量的产品也转化出来了。市场上也能见到这些产品,然而买家却寥寥无几,到底是什么原因呢?是这些产品差劲吗?亭长朗然公司董志军说:产品好不好并不是关键的问题,就拿操作系统来说,XP之后多少创新的更为高档的系统出现了,但XP仍被大多数人们喜爱,至少使用起来并不觉得缺乏什么功能。由此我们相信,现在即使是最差劲的信息化产品,也能满足绝大部分用户的基本需求。

问题的根本原因在哪儿呢?在潜在用户的心理障碍,人们用习惯了某样东西,被这种东西附带的价值观给影响了。就如同很多人认为和美日德商品相比,国货品质就很差劲一样,这些人的这些观点在刚刚改革开放的时候简直就是真理,当然会有些市场。只是现在,中国追了几十年,品质早已提升了不少,还有不少人持这种旧观念,不是受旧观念的遗毒太重,就是受西方发达国家的思想宣传毒害太深。

如何帮助潜在用户走出心理障碍,让国人改掉“中国产品就是差”的传统观念呢?亭长朗然公司董志军说:如果我们的党政机关、各个厂家和多路媒体天天大唱“中国产品就是好!外国货都是垃圾!”那只会造就一些心胸狭隘的民族主义者,而对于明眼人,这招儿只会适得其反,将他们推向敌方。该怎么做呢?我们必须加强宣传教育,让人们知道,要实现自主可控,只有坚定不移地支持国货,支持国货就是在支持自己。当然,国货也需要争气,前期相当长一段时间宁可不赚钱,也要把市场抢回到自己的手中。

您可能会说,这样做会不会引起国外的抵制,说我们不是国际社会的一员?让我们看看美国,每位国民都要宣誓爱国,他们的爱国主义教育多么的高调!他们每年都花了一个月的精力去提高全社会的信息安全意识!有谁敢说美国保守封闭不开放吗?没有!

所以,我们也要将信息安全知识宣传纳入到全民教育范围内,使信息安全相关的法律法规家喻户晓。这样,当人们理解了自主可控和自己、家人、国家的关系多么紧密之后,才能真正的支持国货,我们的信息产业才能步入良性的循环轨道,我们才能持续投入研发、重要成果的市场转化速度才能被提升,产品品质和市场竞争力才能强化,才能有更多的预算投入到新的基础研发。也只有这样,我们才能拥有实现真正的自主可控。

话说回来,西方发达国家的产品并非全部都带有丑化低化弱化我国同类产品的价值观,相反也有一些鼓励人们体验新事物的自由精神,比如有很多开源和公益的项目。积极参与和采用这些开源公益的项目,不仅可以增加国际社会对我们的亲和力与认同感,更能以较低的成本,提升我们的基础研究能力。另外,当我们使用特别是掌控了这些开放源代码项目,那里面有什么鬼能躲过我们的法眼呢?自主可控不就是顺理成章的事儿了吗?

说到底,自主可控不是一件技术事儿,而是在获取民心。要获取民心,拯救那些迷失的人们,需要使用一些适当的宣教手段,更需要可信可靠的信息安全意识教育。昆明亭长朗然科技有限公司,出品了国内甚至国际领先的信息安全意识宣教素材资源,欢迎各级领导、各方有志之士,立即联系我们,洽谈业务合作。

您可以点击下图,在线体验我们的信息安全意识培训教程样本

infosec-awareness-demo