信息安全意识教育培训从何处开始

为什么要搞信息安全意识教育培训呢?IT人会觉得这是与用户沟通的简单工作,还不如培训用户一些常规IT技能来的实在;而安全专业人士又会觉得安全应该是高大上的,对用户来讲最好是透明的,也就是不影响用户日常作业的情况下通过安全技术来保护用户应对各类安全威胁;人事专员为觉得搞搞培训好哇,只是信息安全培训专业性太强,全体成员不需要了解那么多,还是围绕业务的培训更能显示价值。

这些只是一些代表性的想法,当然在各种角色的职位上,不同人的想法各异都是可以理解的。然而,对一家组织来讲,能站到全局的高度看问题的人,往往是是最受欢迎的,当然也是最有晋升前途的。如何跳出小部门的视野,胸怀组织,从全局的高度来看信息安全意识工作呢?昆明亭长朗然科技有限公司安全教育顾问董志军说:为什么做一件事情?一家成熟稳重的组织机构是绝不会盲目跟风的,不管这件事情是一个项目还是一项计划,决策层要看的是它的价值。

信息安全意识教育培训的终极价值何在呢?对商业型公司来讲,有几点,最重要的无非是在通过保障重要信息的安全保密,来保障业务的成功,特别在受专有知识技能驱动的竞争性行业,重要的信息就是真金白银;其次是给客户、供应链及合作伙伴以信心,因为这信息化时代,数据是互相分享的,大家都是一条船上的,不管谁那儿出现安全事故,大家都会受伤;最后,无非是守法合规经营的驱动力,不管是国家和地方的强制性安全法规,还是行业的操作规范,都越来越多,不管有意无意,恶性的安全事故都会让涉事者、直接负责人和相关管理层受到法律的制裁。

信息安全意识教育培训的突破口既然找到了,为彰显在信息安全保护方面尽职尽责的决策者批了您的安全意识推广计划或信息安全意识培训项目,接下来就该行动起来了。您要知道领导这么信任您,您也得把这事儿搞好,搞得有声有色,又确实有效力,才能不负领导的信任和托付。

万事儿开头难,即便如此,您也不应该将就或盲目跟从,看别人家在怎么搞,自己也怎么搞,那我打个恶心的比方,别人吃屎,您也吃啊?我并没有贬低任何行业人员的意思,只是我亲见到太多不动脑袋的跟随者,买了一些不是很适合自家的产品和服务,浪费了单位的金钱其实并不是最重要的,而没有做出应有的信息安全意识教育成绩,没能借此良机,给领导和自己的职场加更多的分儿,才是真该感到可惜的呀!

那么,信息安全意识教育培训到底该从何开始呢?您家单位的业务和别家的一样吗?不完全相同甚至完全不同吧!您家单位的信息和别家的也就不一样吗?我相信是绝对不同的,每家都有自己特别看重的信息数据资料,而且各不相同,它们又以各种形式存在,电子流、纸张、存储、甚至员工们的头脑里——知识库和经验库。

说到这儿,您可能明白如何着手了。没错,从信息资产入手!找出关键的信息资产,对组织成功有用的都算,最重要的是能影响组织机构存亡的那些!

搞搞这些信息资产清单和分类,您就知道,IT安全、计算机安全、网络安全、应用安全什么的都太片面,只是我们信息安全意识教育培训工作的一个模块一小部分,我们谈的是成功、是业务,不是一台不到5000块的机器设备和一个安全极客眼中的系统漏洞!恭喜您!您关注的层面不同了,您已经入门了,找到感觉了吧!

信息资产这么分散,那保护信息安全要靠谁?当然,您会一改往日啥事都要防火墙防病毒打补丁的技术观点,您开始关注信息安全技术以外的东西,人员和流程,没错,信息安全是所有能接触到组织的信息数据的人的职责,要靠的是大家,而不是此前您心中所想的IT安全英雄!

好了,到此,我该停止了,因为我的目的已经达到了,至少差不多了。昆明亭长朗然公司董志军诚恳地与您交心说:在信息安全意识教育培训方面,我引导您走向了正确的认识,这是一个好的开端,我为您感到高兴,您也应该为自己走向正路、为自己的健康成长感到自豪。师傅领进门,修行靠个人。我不敢自行妄认是您的师傅,但是愿意与您交接成为朋友,接下来的路,我更愿意和您一起走下去。帮您就是帮我自己,因为我希望通过帮助您获得信息安全意识项目和计划的成功,帮您所在的单位提升人员的信息安全意识,帮您获得晋升,进而在这个过程中共同成长,获得自己应有的收益。

我们昆明亭长朗然科技有限公司,专注于帮助客户提升员工的信息安全意识,我们开发了大量的安全意识宣教内容,包括动画视频、互动游戏和电子课件等等,也提供云端在线的电子学习平台,我们成功客户覆盖欧洲、亚洲、美洲,多家您熟悉的世界百强都选择了我们,他们都不一样,当然使用的信息安全意识产品和享受的安全意识教育服务也各有不同。欢迎有兴趣的您联系我们洽谈业务合作。

信息安全意识教育手段大比拼

security-awareness-solution

信息安全不仅仅是安装防火墙设备和防病毒软件那么单纯,有国际通用的信息安全管理体系标准可以参考,而在大量信息安全控管目标和流程之中,信息安全意识越来越受到重视。

不过尽管针对全员的安全意识教育越来越被安全管理团队视为解决最终用户端安全问题的重要法宝,然而一提到信息安全意识,人们第一反应可能就是在培训教室里上课,学习那些枯燥的可能和自己毫不相关的PPT。

有道行极高的安全意识培训讲师可能在活跃课堂气氛的同时,也给学员们灌输一些信息安全相关的基础知识、规章制度和工作流程。大多数讲师都会很负责地在课堂教学中把安全的基础知识详细讲解给学员听,包括安全相关的策略、流程以及些许安全基础技术和安全工具。这种传统的安全意识教育方法很朴实,被各类组织机构广泛地使用着。

课堂教学有它的优势便是面对面沟通,更为人性化,也有较强的互动性和高效率。不过,课堂式培训也有它的弱项,便是不够灵活机动,受制于时间和空间的限制。通常不会随时开办安全培训课程,而是每周或每月在固定的课堂教室召开一次,此外,课堂教学还需要合格的讲师、教材等等系列资源。

课堂式安全培训的高效以高昂的成本花费为代价,因为公司不得不投入适当的人力和时间在安全培训之上,通常一名讲师可以与少于20名学员进行有效的学习互动,而每次这些互动的重复都以同样的花费为代价。过多的学员可能会令教学质量打折扣,而安全讲师在进行多次重复性例行培训后可能会由于疲惫松懈而让效果下降。

通过课堂教学方式来进行安全更适合信息化程度不够高的公司,这类公司的信息安全体系建设也处于初级水平,员工们在日常工作中可能较少甚至不会操作计算机。比如对传统的生产线员工进行的安全生产培训,使用这种方式比较有效,因为可以直接拉员工到生产现场,现身模拟实践操作。

对于高危岗位的员工们来说,课堂式安全教学培训正合其意。昆明亭长朗然科技有限公司的安全培训顾问James Dong说:对于大量会电脑操作的办公室人员来讲,课堂式教学显然不够灵活机动。那么,适宜办公室员工们的信息安全学习方式是什么呢?当然是基于电脑的培训或电子教学方式,因为办公室员工们多数会操作电脑,并且可能期望有更灵活的学习时间。

对于有异地分支机构的公司来讲,基于电脑的培训或电子教学方式特别适合会操作电脑的员工,好处不仅是给员工们自由学习的时间,更不受空间限制,还可节省不少的差旅费用开支。

在信息安全意识培训中使用电子学习e-Learning是必然的趋势,因为对于大型的公司来讲,使用基于电脑的安全意识培训会使得学习成本相对低廉,并且能够非常快速地在大范围内实施培训,易操作,及时通过在线信息安全学习系统进行相关知识和技能的测试,可以快速衡量学习成效并为改进绩效提供支援。

如果说e-Learning可以让会电脑操作的员工自由自在学习安全知识和提升安全技能,那信息安全海报、宣传彩页、邮件、壁纸、屏保程序和员工手册等等都是一些辅助的安全意识教育手段了,毕竟它们没有e-Learning方式那么高效,特别是对于会操作电脑而且日常工作需要用到电脑的用户,纸质的宣传文档可能并不受到青睐。

在众多信息安全意识教育手段之后,我们要特别提及新员工培训和年度安全意识更新,员工入职培训的内容往往很多,安全培训只是其中的一小块儿,尽管入职培训异常重要,而且多数采用课堂教学方式,效果自然非常显著,但是安全意识与行为密切相关,安全培训的目标是希望员工们将正确的安全理念应用到实际的工作之中。显然新员工入职培训中,安全意识不可能替代业务流程相关的培训而成为学员的核心学习内容,此外海量的信息让学员难以在短短几天培训活动中完全吸收,再加之日后会慢慢遗忘,所以我们建议新员工培训使用课堂教学与线上学习两种方式相结合。

而也正是因为人们容易遗忘一些安全知识,并且安全课程内容也会根据公司的安全环境及安全威胁的演变而不断改进,自然而然地会要求定期对老员工们进行信息安全意识的刷新。安全意识刷新的频率可能是一年或半年,也可能是一季度或一月,通常针对全员大型安全意识刷新可以一年进行一次,内容也很全面,尽可能包含信息安全相关的方方面面。而每月或每季度的安全刷新可以选择特定的部门群体或特定的安全主题而进行。

总的来说,信息安全意识教育手段很多,甚至可以使用安全意识视频、安全意识挑战赛和安全互动游戏等等,实际上这些都可以整合起来,用于课堂教学和线上电子学习e-Learning课程之中。