看到一些公司的信息安全培训体系,都分成意识、技术和管理几个层面,同时也针对不同的岗位,设置了不同的知识体系。
要说教育培训的原因,是因为要提升人们的知识和技能,这是人力资源管理的一个大课题,并非仅仅只和信息安全相关。昆明亭长朗然科技有限公司信息安全教育培训专员董志军称:追求上进是职场人员的天性,企业也希望用到最好的员工。在进行信息安全培训的必要性方面,劳资双方很容易达成一致。
信息安全的知识体系很庞大,有的是普及性的,有的专业知识太强,可能只适合某些特定的技术岗位,这也都是易于理解的。毕竟,没有必要向生产线员工培训软件开发安全课题,而且IT的高阶管理层也对具体的安全技术不感兴趣。
岗位培训真的那么必要吗?
那么,在信息安全意识教育方面,有必要再进行细分吗?比如针对不同职能不同部门设定不同的信息安全意识课程?董志军表示:这们做的原因似乎说得过去,因为财务部门面临的安全威胁和客户部的多少有些差异。据此来讲,我们可以设置不同的信息安全意识课程内容,这无可厚非。但是同时,我们也得注意,一家单位,毕竟还是一个整体,整体所处的安全态势和所面临的安全威胁,在共性上,要远多于职能部门之间的差异。
那到底该设立统一的信息安全意识培训,还是分岗位的呢?在培训体系的建立上,传统的安全生产领域的做法倒是值得我们参考——三级培训。第一级当然是普及性的,针对所有员工的;第二级是部门级的,这个职能部门专有的;第三级是岗位的,上岗前必须通过的,特定的岗位甚至有作业许可准入的限制。
当然,安全生产相关行业不同岗位之前的操作差异太大,也非常依赖个体的安全意识和能力。与之相比,在信息应用领域,不同岗位对信息安全使用和注意事项方面的差异就没有那么大,所以没必要搞那么复杂。
再有,员工的流动换岗也是常事儿,每换一次岗,都参加一次特别的岗位培训,会让岗位培训活动变得分散和场次过多。从培训资源的有效利用上讲,倒不如尽可能来些大而全的信息安全意识培训活动更为划算。
信息安全意识培训课题
要进行哪些方面的信息安全意识培训呢?
安全培训课题可以有很多,比如:入职信息安全培训、桌面安全政策、物理访问安全、办公室安全、打印及传真、白板安全使用、会议室安全政策、网络会议、邮件安全、即时消息、文档安全、浏览器及上网安全、无线及蓝牙安全、无线网络安全、远程工作安全、数据备份及恢复、密码安全、移动设备安全、家庭互联网安全、访客安全指南、差旅安全、博客信息安全、社交网络安全、安全购物指南、信用卡诈骗、数据清除、客户信息安全、信息安全事件、公司信息披露、智慧财产权、恶意代码、社会工程学防范……
您可能会说,这么多课题,显得很杂乱的样子。的确,我们可以有个划分,比如分成信息安全政策和日常安全实践两大部分。在信息安全政策方面,可以列举公司的安全方针、策略标准、总体要求,信息安全的重要性以及通用的安全基础知识等等;在日常安全实践中,可以从周边环境、物理措施、桌面安全、系统安全、网络安全、操作安全、数据安全、沟通安全等工作相关领域入手,告诉员工们该怎么做才算是在践行信息安全。
当然,说到信息安全意识课题的划分方式,没有一个明确的标准,各人有各人的理解和认识,都没有错。再说,有些课题也都是关联甚至交叉的,也没有必要太执着于谁先谁后,谁该属于谁。就如同应对各类信息安全威胁一样,我们有多种安全防范理论,比如多重防御、立体防御措施,信息安全意识的宣传教育也是多重和立体的。比如APT攻击,利用了诈骗邮件、软件漏洞、恶意程序和社工诈骗,自然就和邮件安全、社会工程学防范、防病毒、上网安全、机密保护以及安全更新等课题相关。
不管如何,通常的信息安全意识培训首先要学员明确认识到信息安全的重要性,否则学员不会认真对待信息安全。可以通过大环境下的信息安全领域的统计数据和事故案例来说明信息安全的重要性,同时可适当列举与员工息息相关的身边的安全事件例子,这样更容易让学员认识到信息安全很重要,保护信息安全也是自己的份内工作,不仅仅是IT安全团队的。
几点信息安全培训的误区
信息安全意识培训的方式和方法比较多,保障培训的有效性才是关键。当然可以从生活案例出发,基于社会热点信息安全事件,分析和探讨背后的原因,吸取相应的教训。不过,目前,是否应该将私人的信息安全意识教育纳入公司的培训中是一个争议性的话题,公婆各有其理。这种针对社会大众的,比如在线购物的安全、ATM使用安全、电信诈骗等往往和工作关系不大,不是一家企业级信息安全意识培训的关注点。公司进行全员信息安全意识培训就是为了保护工作相关的信息安全,目的不是保护员工私人生活。但是同时,在人文关怀上面,公司如果能提供旨在保护员工私人信息安全的小部分内容,也是很感人的,还能起来到吸引员工兴趣到更多工作相关安全培训课程中。
基于工作的信息安全意识培训有个误区,就是很多人觉得好玩儿、有趣、看上去大气的才行,这和国人好大喜功的文化习惯有关。我们不否认在信息安全意识培训方面应该有多种丰富多彩的沟通渠道,但是不能本末倒置。我们不能仅仅注重场面的豪华,比如派发了多少海报和宣传单、放了多少视频、活动请了多少专家等等,更应该注重信息安全意识教育的实质,就是员工们有多么了解信息安全的重要性和自己所担负的责任,员工们知道如何保障工作中的信息安全吗?在这方面,欧洲和日本很值得我们学习,他们在表面上看起来很低调,但是里面很有内容。企业资源管理软件SAP的设计就是个典型,在国人的眼里,那界面就土的掉渣,但是人家有料有效用,不是漂亮的空皮囊。
还有一个问题,就是信息安全培训的战略方法,是选择外包,还是自己动手。不少大型机构都选择了外包战略,这没有什么错,毕竟社会分工越来越细,市场上有专业的信息安全意识服务,当外包比内包让信息安全培训更有效更优惠的时候,当然是一个不错的选择。可是培训外包也有一些前题,就是需要有培训外包管理的能力。对于大型机构来讲,如果自身的信息安全管理和培训体系没建立起来,没有标准化的有执行力的安全规章制度体系,没有已经在使用中的安全培训教程如PPT等,还是先修炼好内功再说。否则只会购买一些并不非常适合自己的安全宣教产品和服务,多花了钱还办了坏事儿。为什么这么说呢?昆明亭长朗然科技有限公司董志军一语道破天机:因为那些是别人家的培训,看一看几天后就忘了,和自家的工作不想干。除非您是中小型机构,想借机学习和建立信息安全管理体系。这就如同我们一个大国不能把国家和军队的管理权交给外国人一样,那我们就成了殖民地了,大国可以买武器,但要有自己制造和操控武器的能力。而一个小国,则可以花钱买武器,也可以请大国来保护自己。这个例子虽然有些夸张,但这正是我为了强调意思的表达而特别取来的。
总结
信息安全意识培训可以分角色分岗位,但是先认真想想学员群体之间,对信息安全知识需求的差异真的那么大吗?信息安全意识培训的课题有很多,不必要执著于哪项主题该划分到哪个品类中,尽可能广的知识内容覆盖才是关键。走出信息安全意识培训的误区,专注于工作中的信息安全,拒绝奢华浪费,修炼好内功,再选择性外包,才是关键。
昆明亭长朗然科技有限公司多年来专注于信息安全意识培训,创作了海量的安全知识素材内容,涵盖了所有的信息安全意识培训课题,并且提供针对大型客户的信息安全意识咨询服务,欢迎联系我们洽谈业务合作。
电话:0871-67122372
微信:18206751343
邮件:info@securemymind.com
QQ: 1767022898