安全教育培训方案

security-education-threats

员工安全培训不应该只是将员工召集起来,在课堂上宣读一下公司的安全规章制度和讲解一两小时PPT文档。安全意识认知教育也不应该只是讲一些故事和道理,并且让员工签字画押以示公司进行了这项培训活动。

简单说,员工安全培训不是安全文书下达渠道,也不为彰显安全保卫力量,更不是留个证据给审计人员看的。安全培训的目标是将信息安全相关的倡议内置进组织业务流程和商业行为准则之中,让员工在日常活动中时刻拥抱安全。

员工安全培训的目标是让员工们拥有正确的安全行为,而不仅仅是单方面倾倒一些安全知识。昆明亭长朗然科技有限公司James Dong补充说:在安全培训达到既定目标的同时,也会在很大程度上促进整个信息安全管理体系的目标,即保障商业成功,保护知识产权、信息资产和计算资源。

为达到甚至超安全意识培训的目标,在战略上,我们需要建立可行的安全培训方案,我们需要寻找能够带领队伍和跨部门营销的专职干部。因为所有的安全教育计划基本上都是内部营销活动,在整个组织内提高对安全风险的认识和推广良好的安全实践需要内部沟通高手和员工关系高手。

我们不能凭空拍脑袋说谁谁需要哪些安全意识和能力,我们需要调查分析安全认知现状和安全需求,每位员工和每个部门对安全的认识和理解会各不相同,对安全控管的需求也会体现出差异,员工们的角色和职责不同,各个部门和业务单元都有各自关注的偏重,这些无疑将是成为安全教育培训方案的输入。

尝试找一些有岗位代表性的和关键的人员进行访谈,问问如下问题:
您的工作中有遇到哪些安全风险?
为什么您认为是安全风险呢?
您认为我们应该怎么处理这种风险?
您最喜欢或者您认为什么样的沟通方式最为有效?

一旦您确定有了安全教育方案的要求,您将需要分配资源,组建队伍,并决定品牌。

将员工、部门甚至业务单元进行分组,列出必要的安全意识主题,制定安全意识培训矩阵,并开始设定安全意识教育培训计划。安全培训计划无疑需要涵盖年度的员工安全意识培训和新员工入职安全意识培训,此外,还需要更多各式各样的安全意识沟通活动。

安全教育方案制定出来之后,这一方案得到了组织高层领导和全体员工的支持。它具有强制性和选择性的元素,是正面和有激励性质的。

如果您准备实施安全教育培训方案,如下几点小技巧分享给您:

1.一定要得到高级管理层的支持。当行政总裁说安全非常重要,并且提倡一些安全做法时,员工会更加注意。
2.争取优质和恰当而不是大量的资源来执行计划,重要的是要建立强有力的关系,汇聚一批来自组织各个单元(部门)的有影响力、对安全教育有激情的人,并不断加强这些关系。
3.搜集安全问题,挖掘意识培训需求。问问那些最熟悉工作场所环境的一线员工,也问问经理们和安全人员,问问他们组织面临的安全隐患和威胁。
4.如果内部资源不够丰富,建议寻求专业的安全意识培训咨询顾问服务,即便顾问们对公司和业务的熟悉程度不如内部人员,但他们的经验值得借鉴和学习。

安全培训方案的实施其实正好反映了公司的企业文化,通常我们建议每季度进行一次较大规模的全员安全意识沟通计划,零星的安全意识推广则可随时随地按需进行。

安全教育培训方案要有始有终有所输出,就需要衡量绩效和不断改进。昆明亭长朗然科技有限公司建议可以测量的数值包括:参加安全培训活动的人数、培训资源如安全教育视频及文档等的点击数、安全意识题目的正确回答率、人为原因造成的安全事故数量……

昆明亭长朗然科技有限公司提供安全意识培训计划咨询及实施服务,帮助各类型的组织机构评估安全意识认知现状及需求,以及制定安全意识教育目标和计划。欢迎和我们联系洽谈业务合作。

除了分享信息安全意识教育解决方案之外,我们也愿分享一些产品和服务,以便有需求的各安全培训负责人能能够有所收获。

再谈安全意识教育

公司是否应该花钱对员工们进行安全意识培训呢?在信息安全业界,尽管多数安全管理方面的专家都赞成进行安全意识培训的必要性,但是仍然不时有极个别的反对声音,认为对最终用户进行安全培训是在浪费时间,而且那些培训费用完全可以用在其它的地方。

我们今天就来讨论一下这个在海内外仍然存在少量争议的课题。

首先,我们谈一件安全投资是否有必要,得有一个预期的收益,也需拿出可以进行衡量的可行性标准,并据此测量安全投入是否达到了最初的设想目标,即所谓的安全投资回报ROI。不过,在广泛的计算机网络信息安全领域,尚无可以借鉴的广为接受的投资回报算法,因为想量化安全事故可能带来的潜在损失和安全投入所能挽回的潜在损失是一件不可能的事情。即使在风险管理领域,有些计算公式,类似风险=漏洞*威胁*影响*概率之类的公式,不过这些也只是停在安全理论层面,根本不能被最佳信息安全实践操作所理会和采纳,所以成熟的安全风险评估和管理通常采用定性的分析方法。正因为如此,否定对员工们进行安全意识培训的必要性,明显是站不住脚的,就如同某些安全专家建议用户不要安装杀毒软件一样荒谬。

其次,对安全意识培训持反对意见者可能会质疑安全意识培训的成效,的确安全意识培训不像安装配置企业防火墙一样,设置了一条规则之后便可立即看出效果。安全意识培训的对象是人员,而人员则是信息安全要素中最复杂的最脆弱的一环。企图通过安全意识培训让员工们都成为信息安全方面的模范遵循者,简直就如同在地上画个圈,让人站在里面不要出来到处乱走一样。但据此来说信息安全意识培训无用也太不负责任,信息安全意识培训本身只是一种安全理念和技能的沟通方式,即使主动发布信息的一方,通常是安全意识培训讲师发出了正确的安全讯息,安全意识的接收者也可能不接收、不理解或不认可。这并不是安全意识培训本身的失败,而是尚需更多安全管理措施来配合。就如同购买了价格昂贵的防火墙,规则配置上却缺乏适当的安全策略标准指引,或者防火墙管理员偷懒,随意配置允许任意源随意访问任意目标一样。有些现成的方法可以帮助衡量安全意识培训的成效,比如在培训前后通过信息安全基础测试来了解员工们对安全理念的掌握情况,通常经过培训之后员工们对信息安全的认知都会有所提升。

再者,安全意识培训的反对者会认为安全意识很难影响安全行为,的确,人们对某些事物的认知和行为可能并不一致。昆明亭长朗然科技有限公司的安全咨询顾问James Dong举例说:几乎所有的城镇人口都会从小就被教育遵守交通规则,但是仍然随处可见闯红灯和穿越马路的情景,我们能否认说交通安全意识教育不能改变交通安全行为么?当然不能,违反交通安全规则的自有他们的“道理”,比如认为交通灯不够灵活、穿越马路较近更节省时间等等。我们可以肯定的是,这些人在违反交通安全规则的时候,多数知道自己的行为是在违反,假想我们不教育人们遵守安全交规,那世界会混乱成什么样子?要让安全意识和安全行为有效关联起来,需要的是激励措施,奖励积极向上的安全行为,处罚恶劣的不安全行为,自然而然便能建立起“知行合一”的安全合规文化,但看新交规实施以来的威慑作用便知一二。

最后,安全意识培训的反对者会认为这些资金和人力的投入可以通过其它安全控管来获取更好的效果,说这些的往往是些急于推销安全技术产品的厂商,我们不排除很多安全问题可以通过形形色色的技术控管方式来解决,比如防止用户有意或无意犯错。我们不得不说的是这些安全控制技术都需要人员来操控和使用,它们要发挥效用的最大假设前提是人们的理解和支持,不通过安全意识培训,如何获得理解和支持呢?此外,老人们常说“淹死的人通常都是会游泳的”,不屑于安全意识提升的技术专家们,冒险精神可嘉,但较安全技能并不是很高超的普通用户更可能成为安全事故的发动者或受害者。

secure-your-employee