浅谈信息安全测试系统

如何才能轻松了解到各部门员工对信息安全基础知识的掌握情况呢?如何让考生在参加安全测试的同时还可以对自我的安全理念进行正确矫正呢?如何衡量安全培训项目或安全意识计划的成效呢?这一直是各企事业单位及政府机关的IT和安全主管人员所关注的话题。

市面上有不少标准化的考试系统软件,可以快速实施和部署,功能强大的系统还支持所见即所得试卷的录入和制作。不过标准化的学习系统虽然功能强大,但也有其缺点,即缺乏灵活的定制化功能。

其实,再强大的考试系统也需要人员的参与,在人员方面主要有两块儿:一块儿是参加测试的员工,亦可称为主角或考生;另一块儿是员工信息安全意识教育负责人,通常是安全意识培训讲师或信息安全培训部门经理,亦可称为监考人员。

先说考生与考试系统的互动,多数员工并非IT方面的高手,对他们来讲,考试系统的访问和操作要尽可能简单和快捷,访问一个页面链接即可立即进行参加答题、答题完成页面自动退出是最理想的方式。在参加真正测试之前,让考生在学习系统内进行登记注册、路径找寻等等事项显然是在花费时间、增加考生的压力而且容易造成各类人为方面的出错。

再说信息安全培训经理这方面,要考虑的东西就很多了。昆明亭长朗然科技有限公司的安全意识培训顾问James Dong说:与传统的课堂式考试相比,电子方式的考试无疑更具有时间和空间的优势,更适合针对大中型组织机构的全体员工进行的信息安全意识测试。关于要注意的事项,James提出如下几点参考意见:

首先要考虑考试环境及与考生的互动流程,多数大中型组织机构分布式的,难以聚集成课堂方式,而且员工们都还有大量日常工作要进行,这就需要灵活的时间安排。在线考试系统无疑可以满足“随时随地”的需求,不过在时间上仍然要设置一个截止日期,不可能无限期放任。互动流程则需考虑推动考试的步骤和秩序,可以先选择少量部门和人员进行小规模测试,然后按部门分批进行或大规模同时进行。信息安全考试的考生互动流程还不能缺少的是发动渠道,通常多数组织机构都有员工目录,通过内部沟通工具如群发邮件或公告板等可以快速告知;也有通过按业务单元由上至下推动的;也有通过部门经理主管和安全培训和考试协调员按部门分批推动的。

其次要确保参加考试员工的身份鉴别,不过通常企业层面的信息安全意识考试较少会出现代考替考现象,不过进行信息安全意识教育的相关系统没有强大的身份鉴别功能显然不符合信息安全管理的精神。身份识别多数可以集成Active Directory或LDAP目录服务,但是有的组织部分员工可能没有AD帐户,这可能需要弹性灵活的身份鉴别机制。

再次要保证知识点的覆盖和考题的不同,在同一个知识域内设置多个不同的考题,让系统随机选择少许数量并分配给考生是不错的方法。比如可以为密码安全、电脑锁屏、社交诈骗防范、物理安全、社交网络使用、邮件安全、桌面安全、版权保护、移动办公等主题各设置5至10道题目形成信息安全意识测试试题库,为每考生随机选择其中1至2道。

最后则是对考试成绩的显示、统计和报告,或衡量信息安全知识考试结果“是否通过”。考试成绩以及“是否通过”的结果显示可以让完成安全意识测试的考生立即获得反馈,甚至可以回顾错误的答题的解析,在这个过程中也强化了安全意识教育的目的。当然,这些灵活的需求都需要视具体的环境而定,有的组织可能并不在意立即给员工反馈。统计报告的用途多是来衡量“一次性通过率”,有的组织可能乐意给一次性通过安全意识测试的员工同时生成信息安全课程或考试通过的相关证书,而让没能一次顺利通过测试的员工再次参加信息安全意识培训学习和重新测试,直至最终通过安全意识测验。此外,也有相当多的信息安全培训负责人可能喜欢统计不同部门的总体结果,弄个各部门员工信息安全意识测评通过率排行榜,部门领导们往往会碍于面子和压力,进而会在其所管辖的部门花力气推动和强化关于信息安全意识的学习。总体说来,由于组织的企业文化和管理架构的不同,员工安全意识培训负责人对安全意识考试成绩显示、统计和报告的需求也是各不相同,这就需要定制化的服务。现成的标准化考试系统报告功能往往相对强大,但是固定化的强大统计报表功能却有大多数并不必要,而且笨重的身躯难掩不够灵活的缺点。

说到底,安全意识测试对系统功能的要求并不多,但是通用的考试系统却并不一定适用。亭长朗然公司不仅提供高质量的安全意识试题,更能提供量身定制的信息安全意识考试系统咨询顾问和实施部署服务,让各类型组织的员工安全培训负责人可以轻松地掌握整个组织范围的信息安全意识水平,并且能够借用信息安全意识测试来推动整体安全意识水平的不断改进和提升,进而达到保障业务信息安全的管理目标。

Similar Posts: