信息安全培训

借力网络安全宣传周提升人员安全意识

admin

借助年度“国家网络安全宣传周”,网络安全管理负责人可以快速发动组织范围内的安全意识宣传教育活动,以便内部职员们能够认识清楚当下的网络安全威胁形势,同时向上级主管机关以及外部机构展示网络安全承诺及合规工作绩效。对此,昆明亭长朗然科技有限公司网络安全意识服务专员董志军补充说:国家层面的网络安全宣传周每年会选择一个主办城市,围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题进行讨论,主题通常定为“网络安全为人民、网络安全靠人民。”这可见国家对“人民”在网络安全事业中扮演的角色和重要性的认识。

对很多组织机构如机关单位和公司企业来讲,平时的工作很紧张,网络安全没什么大事件,谁也不想轻易,也不容易找出机会来发动组织范围内的网络安全意识培训。然而,这并不意味着就可以省去这项重要的工作。据统计,不法分子每月有数亿次的勒索软件攻击尝试,与此同时,根据最新的行业研究,网络钓鱼诈骗的数量正在飙升,数据泄露的成本比以往任何时候都高。当然,在国际国内的大环境下,组织机构在应对持续的经济不确定性和国际紧张的竞争关系时,也面临一些网络威胁挑战,这两者都使网络安全意识教育工作变得紧迫。因此,在年度的国家网络安全宣传周大气氛下,通过提高职员们的安全意识和防御能力来应对当今最紧迫的网络安全挑战,是网络安全管理工作者和领导者们不可放过的大好机会。特别是在网络安全相关法规,如《网络安全法》、《数据安全法》、《个人信息保护法》及配套法规不断出台和落地实施的大背景下,强监管时代来临,网络安全管理负责人需要在工作方面表现出尽职尽责,在安全意识方面发力,是展示工作业绩的关键一环。

如果说“国家网络安全宣传周”和安全意识内训有什么不同之处的话,那就是范围的不同和目标的不同,进而引发安全意识内容的不同。不用多说,“国家网络安全宣传周”更多从国家安全、社会稳定与人民利益的方面入手,会更多强调网民的言论适当和行为合规,会更多着重于电信诈骗防范与个人隐私保护;而组织机构内部的安全意识,需更多发力于信息资产的保护、安全规章制度的遵守和执行,发力于防范网络钓鱼及社会工程学攻击。安全教育可以实现多个目标和要求,包括遵守强制安全培训的法规、建立明确的行为指南以支持纪律处分程序(如可接受的使用和/或常规安全政策要点)、提高员工对安全和风险主题的了解,并在适当的情景下激发所需的安全行为。所有这些类型的目标都指向一个共同的需求,即对人员层面安全风险管理的需求。

除了目标和内容的不同,“秀”成绩的做法也大相径庭。在“国家网络安全宣传周”方面,官员们只需搞稿面子工作,安全宣传活动在表面上宏大就行,比如:展会外声势浩大,内部安全展台科技感强,服务人员长得漂亮,领导参观的舒心;沟通会听众多、媒体记者阵容大装备强,领导成就感高;对领导的到访陪护周到,就容易获得领导的认可和欣赏。而在内训方面,展示安全意识计划的有效性或投资回报比,对许多首席信息安全官或者安全总监经理们来说,“面子工程”可能会被说成浪费资源,“拿数字说活”变得越来越重要,这体现在对衡量持续学习成果或提供预评估的需求不断增加,比如有多少比例的员工参与了安全意识宣传活动、有多少员工的安全意识水平通过“基线测试”并达到了基本的水平。不管“数字”能否或足够证明职员们对安全知识的掌握程度,在没有更科学更专业的指标问世之前,“数字”报告就是权威,首席执行官、首席财务官、首席信息官、首席安全官、首席人力官、首席培训官等等人员认可学员学习方面的“数字”报告就代表着工作绩效。

实施组织内部的“网络安全宣传周”并不难,首先需要的是安全意识内容库,通常首席信息安全官和安全意识经理并不是全职内容编写者、图形设计师或知识营销专家,好在有许多安全意识内容供应商可提供大型的预设计内容库,它们包括电子海报、卡通图片、信息长图、邮件通讯、动画视频、交互信息、电子课件等等形式的材料。其次需要的是学习管理系统,通常人资培训部门已有该培训平台,学员凭学习账号可登录进行电子化学习,培训负责人可以查看学习进度报表。如果没有内部现成的学习管理系统,可以自建、购买等方式导入一套平台,也可以使用云端租用的方式,获得一套在线学习管理系统。剩下的,就是根据不同学员学习进展情况以及内部执行推动惯例,不时找一找没有及时参训的人员,参训率、考核通过率较低的部门,群发邮件进行提醒,逐步推进安全意识活动啦!这一招相信职场人员都理解很透彻,没有人愿意表现的落后。参加安全意识学习又不是什么难事儿,不能给部门丢脸。在这种企业文化和心态下,“网络安全宣传周”比较容易拿得一个漂亮的可以“秀”的成绩单。

近年来,昆明亭长朗然科技有限公司积极顺应时代变化,创作了大量的教程资源内容,包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件,欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复学员们的“人性弱点”,强化安全管理防线。

此外,有足够预算的组织机构可以考虑定制课程以满足业务需求,当然,对于安全培训、企业培训相关机构来讲,您可能想扩展产品线,增加信息安全意识服务。我们可以帮您打造自有品牌的培训和宣教内容作品。如果有较为成熟的作品设计方案,我们可以帮您进行作品的进一步创意和内容制作,这样您将拥有作品的全部知识产权。课程内容创作提供全面的国际化和本地化语言支持,以帮助跨国客户服务多语种的员工。翻译工作可由贵司的海外人员自行进行,我们提供原始语言版本;也可以由我们进行全包。我们曾经为客户提供过的一些课程语言定制包括:汉语、英语、日本语、越南语等等。我们提供定制化设计创作的课程课件内容形式包括并不限于:

  • 配音讲解
  • 动画故事
  • 真人视频
  • 动态字幕
  • 测试考题
  • 多种交互
  • 品牌元素
  • 在线签署
  • 电子证书

欢迎有兴趣或有需求的客户及行业伙伴联系我们,洽谈作品、服务的购买或业务合作事宜。

将PDCA方法应用于安全意识教育

admin

引子

PDCA相信很多人不陌生,对接触过管理思想的人来讲,更是熟悉,不过还是让我们简明快速地讲一下。PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Action(处理)的第一个字母,PDCA循环别称戴明环,是质量管理的基本方法,也是企业管理各项工作的一般规律。

对于信息安全从业人员来讲,PDCA也是建立信息安全管理体系ISMS的一项方法论。昆明亭长朗然科技有限公司信息安全意识课程开发主管董志军说:教育培训管理可以使用PDCA方法,信息安全管理可以使用PDCA方法,当然,交叉起来,作为人员安全管理的一个重要部分,信息安全意识教育培训也可以使用PDCA方法。

现状

在业界,很多技术型的信息安全专员不了解信息安全意识的重要性。而只有站在足够的高度的管理型安全专业人员才清楚:大部分的安全事件是由于最终用户对安全的无知或忽视而引起的,这些事件甚至包括造成重大损失的安全事故。通过恰当的信息安全意识培训,大部分由最终用户引起的安全事件可以得到避免。

信息安全意识培训负责人正逐渐认识到对最终用户进行安全培训的重要性,但是却往往没能掌握到科学的安全意识教育工作方法,更没能认识到培训工作需要得到持续不断地进行,并不断改进。正是因为如此,不少信息安全意识宣教活动都停留在表面,拍拍照,秀一下工作完事了,根本没有什么效果。

这种状况需要得到改变,否则必是安全管理的不完善。昆明亭长朗然公司董志军指出:由于信息安全管理的三大支柱是人员、技术和流程,即使技术型的安全专员多花出几倍力气和资源投入,也是无法有效解决人员意识和管理问题。

路子

针对人员安全意识培训的短板需要补齐,而具体该怎么做,则可参考PDCA方法论。其实信息安全意识培训负责人员可以和管理体系人员,以及职业的培训专员来探讨。如下,我们分享一点

P (Plan)计划,包括信息安全意识培训计划的制定。这里面包括搜集和分析安全培训需求并且制定培训目标,以及制定培训战略,创建培训计划。可以通过对最终用户进行水平的评估,来确定信息安全培训需求;也可以为最终用户划分到不同的类别中,以确定用户处于哪个类别,量身定制信息安全意识培训计划以便能最好地满足他们的需求。在计划制定方面,要保持安全培训的简洁,调整培训以便适应最终用户的水准,创建培训课程,以适合安全知识最少的最终用户。非正式的和基于电脑的培训在改进最终用户的安全表现方面最为有效,应该将这些培训方式应用到信息安全意识培训计划之中;正式的培训加上微培训和测试是保持安全意识在最终用户的头脑中处于更新状态的最好的方法;

D (Do)执行,根据上一阶段所制定的培训目标和计划实施信息安全意识培训活动,可能是通过外包还是内包的方式,可能是在线课程、互动挑战、“微培训”等多种形式。最终用户的安全知识水平可能参差不齐,毕竟大部分用户并不是安全方面的专家,培训时一定要尊重他们,让他们觉得受到了平等的对待。在培训活动开始前后,征求用户的想法和意见,倾听是很有效的沟通方式。

C (Check)检查,跟踪、评估培训的实施情况,在上一阶段,我们应征求用户的想法和意见。同时,也可以通过各种工具和手段来衡量信息安全培训工作绩效,比如通过在线调查表、测试考核等。

A (Action)改进,根据培训工作绩效评估结果,结合实际发生的安全违规情况,并与培训目标进行比较,找出培训中存在的问题,不断改进我们的培训流程,包括在课题的选择、交付的方式、培训的技巧等等方面进行持续的改善,如此便进入到下一个PDCA循环中去。

总结

不论一家组织规模如何,所处行业如何,都需要进行信息安全意识培训。使用PDCA方法,设定培训计划,执行计划并对最终用户的学习情况进行持续的检测可以不断改善信息安全,以及安全培训工作。有近半数的公司在提供了针对最终用户的信息安全意识培训之后看到了安全行为方面有明显的改进。

如果您对这个将PDCA方法应用于信息安全培训的实践有兴趣或意见,我们有一部公开课可供您参考和指正。此外,昆明亭长朗然科技有限公司在安全、保密与合规方面,提供专业的针对全员的培训解决方案,欢迎联系我们,了解详情或洽谈合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898