信息安全意识计划

再谈信息安全意识推广计划

admin

在很多IT安全专业人士眼中,针对普通用户的信息安全意识教育培训是很“小儿科”的。然而,即使是安全技术专家,也不得不承认一个事实,那就是越来越多的针对企业级信息系统的攻击开始借助普通用户薄弱的安全防范意识,臭名昭著的高级可持续性威胁APT便是如此。

普通用户、VIP人员越来越多地成为网络犯罪分子入侵关键信息系统的跳板,甚至IT人和安全人,也都会面临各种各样的社交工程学攻击手法,这便让诸多信息安全管理人员将目光转向针对全员的信息安全意识教育领域。

如何开始呢?如何科学地制定和实施一套信息安全意识推广计划呢?昆明亭长朗然科技有限公司信息安全意识顾问董志军说:这是一个相对古老的管理话题,在此之前我们有多次谈到过,随着时间的推移,内容多少有些变化和更新。我们假定一家大型集团公司开始启动正式的信息安全意识推广计划,如下是整个计划的概貌。

一、计划概要

借助发布或更新安全政策与标准之时,首次配以一次大型的信息安全意识宣传推广活动。每月或每季度分批次分重点,进行不同安全主题的沟通宣传。针对全员的安全意识每年进行一次全面的刷新,并将其纳入新员工入职培训活动计划中。

二、初次推广

不管是首次发布、还是重大变更了集团层面的信息安全方针政策和标准指南,都需要进行大型的安全意识推广活动,如果是初次活动,我们建议使用较为全面的、涵盖了大部分信息意识主题知识点的教程资源,当然最好能使用一些定制化的内容,比如邀请高管讲话,或录制高管的讲话视频等等,以显示高管层对信息安全的重视和承诺;有了这些,员工们才会更加认真对待信息安全。

三、分批推广

每月或每季度分批次分重点进行不同安全意识主题的沟通宣传,可以更深入地宣传相关主题的内容,让员工们更加理解安全政策和标准的精神,在强化相关制度流程的执行力的同时也可以起到不断提醒员工们注意保护信息安全的作用,经常提醒,才更容易让信息安全成为习惯和文化。要深入不同的安全主题,特别是结合具体的商业环境、信息安全目标、战略、标准、流程等等,通常需要量身定制宣传推广内容。

四、年度刷新

每年审议和更新一次信息安全方针政策和标准指南,与此同时,全面刷新一次员工们的信息安全意识认知,教程资源可以在此前的基础上进行定制化的改进,以尽量减少重复不变的内容,免得枯燥乏味。当然,对于重点的需要重复强调的部分,仍然要保持重复使用。

五、入职学习

对于新员工,在入职培训期间,也要求进行一次全面的信息安全意识学习和考核,以保证全体工作人员都拥有基本的必需的信息安全意识。学习内容可以是最近一次针对全员的安全意识推广活动教程资源。

六、定制建议

信息安全管理处于初级阶段

对于计划初始做信息安全意识推广,但针对全员的常规性的信息安全意识培训制度尚未建立起来的客户,我们通常建议客户在最开始时,先选择一批通用的宣教资源或课程,少量定制。这样可以快速实施安全意识推广活动,并且节省大量的宣教成本。对于IT安全团队来讲,可以参考教程资源中的内容精华,改进安全管理工作和积累活动经验,同时降低项目计划风险和试错成本,还能留给下一年信息安全意识活动更多的改进或提升空间。

信息安全管理处于成熟阶段

对于信息安全文件体系比较完善,制度化管理水平较高,针对员工的信息安全培训已经成为常规工作的客户,我们则推荐定制化内容开发。因为很多安全相关的标准和流程都已经在实际工作中实践了,培训相关的原始素材也都有了不少,定制开发有了相对明确的输入内容。这时用新的方式来增强内部沟通,可以强化员工们对信息安全相关要求的理解、以及对相关安全理念的全新认知。对于信息安全团队来讲,定制课程的项目计划可控性强,成功率高,风险低。

总结来讲,如果我们在前期没有进行过大规模成体系的信息安全意识宣传活动,那么无疑员工们的信息安全意识水平是较低的,不管是通过风险评估、员工面谈、考核测试还是模拟渗透,几乎都可以得出这个结论。只是要进行全员信息安全意识的提升,科学的工作方法如何?如何衡量信息安全意识工作成效?如何让信息安全意识培训更贴近企业的实际商业环境和信息安全管理流程和规章制度?我们在一篇短文中可能介绍不了这么多,不过,如果您有兴趣了解更多,您可以直接联系我们,咨询更多详情。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

信息安全意识计划的关键成功因素

admin

现在几乎所有的信息安全管理负责人都认识到只依赖技术方面的安全控管是不足够的,与此同时,在流程和人员方面的安全控管越来越受到信息安全总监和经理们的青睐,尤其是针对全体员工的安全意识培训计划逐渐成为信息安全管理工作的重点。

由于信息安全意识教育是比较“软性”的安全控管措施,也没有相关的国际国内标准可以遵循,所以通常被认为比较难以衡量安全意识培训计划的成效。实际上多数组织在进行一两次大规模的安全意识培训活动之后,发现整体安全状况的改进并不十分理想。

为什么有些安全意识培训活动并达到所期望的效果呢?昆明亭长朗然科技有限公司的安全意识培训顾问Bob Xue说:当我们与多数安全意识培训计划负责人进行接触时,都会获得信息安全意识教育至关重要的积极反馈,然而谈论到安全意识培训活动成功的经验和失败的教训时,会强烈感知到客户的迷茫和无力。

在分析了林林总总的原因之后,亭长朗然公司的Bob总结了几条成功实施信息安全意识培训计划的关键要素,并且分享如下:

1.获得最高层的支持,信息安全管理中有Top Down Approach“至上而下”方法论,信息科技、安保中心、人力资源、员工培训等部门的负责人会认识到信息安全意识教育的重要性,但是并不能代表C-level的高管们也有同样的认识。获得高管们支持的办法并非需要太多的说服工作,但是要注意让信息安全意识计划的学员们知道高层对信息安全的重视,可以邀请一些高管,让他们现身对全体员工谈一谈信息安全,将高层要传达的安全讯息录制成安全意识教育视频。这种安全意识教育视频录制活动的好处是让高管们获得了重视信息安全、工作尽职尽责的美誉,中间经理层和员工们也更能接受最高管理层传递的信息安全理念。有了最高层的支持,就如同拿到了在组织范围内进行信息安全意识教育的“尚方宝剑”,不需要花费太多动员工作在中层经理主管和基层员工们身上。

2.安全意识教育计划和安全意识培训内容要结合实际的工作环境,每家组织都是独特的,不仅表现在组织架构和安全文化方面,就信息安全管理方面而言,每家组织需要保护的关键信息资产也各不相同,所使用的信息系统、工作流程和安全策略也各有差异。在制定安全意识教育方案时,一定要考虑到业务环境和信息环境,通用的安全意识教程可供参考,但是不能有太大的期望,毕竟不够定制化的服务更加贴身,更符合实际。

3.明确信息安全责任,讲一大堆信息安全对组织重要性的大道理往往会令基层员工有“听天书”的感觉。信息安全关乎所有人的职责,关键要通过信息安全意识培训计划,让全体员工了解到自身所要担负的安全角色和职责,不同部门和工种的员工的安全角色可能会有稍许差别,管理层的安全责任更加重大。安全意识教程要注意覆盖到所有部门和工种的员工,再结合起员工们的日常安全作业流程,简单而直接地告知哪些行为可以接受,哪些行为不可接受,方可让安全方针政策得到员工们的理解、消化和落实。

4.鼓励员工们积极向上的安全行为,让全体员工了解和履行安全职责可以保护自身范围内和部门级别的信息安全,同时组织范围内的安全环境也还需要全体员工参加共建。倡导正确的安全理念和积极向上的安全文化,并不是玩虚的,信息安全管理负责人需要拿出部门资源来引导员工积极参与信息安全策略和作业流程的建立和优化,更需要奖励为组织的整体安全文化建设做出杰出贡献的个人或部门,比如对发现业务流程或信息系统安全漏洞的员工给予物质奖励;对积极正确响应安全事故、帮助组织降低业务安全风险的员工进行精神表彰等等。积极向上的安全文化不仅是安全意识计划的追求目标之一,反过来也会促进安全意识计划的成功实施。

5.向员工们提供足够的安全支持资源,安全意识教育不应该只是搞个课堂培训、张贴一些标语海报、发放些信息安全意识传单。大部分的员工还是想在遇到信息安全问题的时候能够有正确的表现,只是有时确实不知道碰到问题时该如何处理。这就需要信息安全管理负责人能够提供尽可能多的资源给到员工们,设置组织内部“信息安全网站”是个不错的方法,可以将组织相关的信息安全策略、标准文档、安全流程指南,常见问题等等放置到信息安全内部网站上,供员工们在有疑问时自助查询。当然,还应该放置一些安全教程资源内容以及信息安全部门或团队的联系方式,以便有兴趣、需求或疑问的员工能随时学习或咨询。

6.采用有趣的互动性的安全意识教程,命令与控制型的单向灌输的教育方式已经不适合多数现代组织,一成不变的安全意识沟通方式也难吸引员工们的眼球。员工安全意识培训负责人需要不时换些花招,不时来一些安全意识电子期刊、一段安全培训卡通视频、一小段安全漫画、一个安全疑问及解答等等可能并不足够,因为缺乏互动。一个在线安全意识互动活动、一部在线安全意识培训课程、数十道安全意识测试题、三五个安全场景挑战等方式会让员工在参与过程中进行思考。只有他们进行了信息安全相关的“思考”之后,才会Know Why“了解为什么”在信息安全方面需要这样做,而不仅仅是Know How,该如何做。也只有员工们深刻理解了“为什么”之后,他们才能在各自独特的工作环境之内应用正确的安全理念。

简言之,那些只使用些酷眩的海报、月历和鼠标垫那些小玩艺儿便可进行信息安全意识教育的期望必定变成失望。想要成功进行信息安全意识培训计划,除了坚持不断执行上述几点关键要素之外,还是不断坚持和循环执行,这正呼应了信息安全管理体系ISMS的导入方法,即将PDCA持续改进的理念和方法应用于信息安全意识教育计划之中。

昆明亭长朗然科技公司不仅提供安全意识培训计划方面的咨询顾问服务,更能提供安全意识培训教程的量身定制设计、开发和制作。我们的专业信息安全意识推广经验和互动式的安全意识教程模板,可以为客户的信息安全意识计划带来大量的成功因子,欢迎与我们联系,即使是随便聊一聊信息安全管理相关的话题也会让双方受益。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898