良好规划是决定企业安全意识培训成败的关键

      在上期文章中,我们了解了为什么信息安全意识培训课程 (ISATP)至关重要。同时我们还探讨了为了获取开发和实施这一培训课程所需的资源,如何向领导层提出建议并获得支持。在本文中,我们将讨论实施信息安全意识培训课程 (ISATP)项目的第一步,也就是规划。图一展示了整个培训项目的流程。

  良好规划决定企业安全意识培训的成败

  图一: 微软 ISATP 课程流程(摘自ISATP白皮书)

  建立项目

  在进入规划阶段前,我们首先要将培训课程设定为一个项目,并指派项目管理者和项目负责人(project champion)。设立项目后,需要将项目目标和范围(包括哪些,不包括哪些)文档化,并将其作为有效信息安全意识培训课程 (ISATP) 从规划到实施的指导文件。

  理想情况下,项目目标需要与企业当前的管理状态尽量贴近,以便更容易获得批准和实施所需的资源。为了确保我们能够朝着正确的目标前进,可以问自己以下几个问题:

  1. 在我将要保护的信息处理环境中,信息安全意味着什么?这些存储的信息有多敏感,它们是如何被处理的,是如何与外部进行信息交换的?目前实施了哪些政府强制性监管规范(比如 HIPAA 和 SOX)?

  2. 公司的安全战略是什么?

  3. 公司的安全策略是什么? 这些策略是如何在每日的工作中实施的?

  4. 公司的关键业务过程是什么?

  5. 安全性对员工的每日工作有哪些影响?

  6. 一个严重的安全事故会对公司的健康状态有多大影响?

  通过回答这些问题,可以帮助我们更好的了解信息安全意识培训课程 (ISATP)所需的信息。这一信息包括了企业文化,企业所处行业,实施了哪些规范,以及企业是如何处理或存储敏感信息的。

  虽然项目管理者有义务协调项目活动,但是实际上是项目负责人在进行安全意识培训课程的管理支持工作。根据微软的解释,ISATP的项目负责人是“…极具权威并且对整个企业的信息安全负有责任的人。”

  项目小组的参与者必须包括企业所有的利益相关者,那些参与ISATP课程规划的团队的负责人必须参与到项目组中。图二摘自 NIST SP 800-50 (建立一个信息技术安全和培训项目),显示了需要加入培训内容的一些潜在资源。

  良好规划决定企业安全意识培训的成败

  图二: ISATP计划和设计所需的潜在资源来源

  决定培训内容

  我们可以根据NIST 的基本纲领对图二所示的分类进行深入挖掘,获取课程所需的细节内容以及对安全意识话题进行优先级排列:

  · 最近发生的事故 – 对于最近(最近一到两年)发生的安全事故的评估可以显示出员工安全意识上的薄弱点或者大多数员工目前的安全原则。

  · 监管规章问题 – 安全意识培训课程是政府监管规章培训的有效补充。

  · 员工的关注点 – 很多员工已经有了基本的安全意识。他们可以提供与信息安全相关的每日工作中存在的问题。

  · 管理层的关注点 – 管理层的关注点一般更偏向于运营或策略方面,尤其是投资人,厂商,客户以及员工福利方面。管理层的意见可以帮助完善企业内部的安全建设。

  · 客户的关注点 – 随着目前身份盗用案例的日益增加,客户越来越关注企业如何保护他们的信息。解决客户的忧虑不仅仅是因为生意需要,也是在做正确的事情。

  · 投资者的关注点 – 投资者对企业保护敏感信息(知识产权,财务信息等)能力的信心水平,决定了我们的企业获得投资的水平。因此在规划企业安全水平的时候,要考虑到投资者对于安全性的期望。

  决定培训内容所需的信息,还可以通过以下一些企业部门获得:

  · 行政管理部门

  · 信息服务部门

  · 安全部门

  · 市场部门

  对于监管规章有责任或者受监管规章影响的部门。如:

  · 人力资源部门

  · 法律部门

  · HIPAA安全部门

  · 监管规章部门

  · 客户支持和IT维护部门

  · 财务部门

  · 审计部门

  · 培训部门

  微软免费的 ISATP 培训资料是确定培训课程内容获取来源的一个很好的参考资料。

  规划培训效果的检验标准

  除了确定培训内容,我们还应该确定如何衡量培训目标的完成效果,以及确定目标人群。可衡量的培训目标包括:

  · 常见安全事故的年发生率是否下降

  · 通过在线测试或者其它工具来检验受众对课程的吸收程度

  · 使用比如 Phishme 之类的工具针对员工进行网络钓鱼或者操作漏洞方面的攻击试验结果

  是否使用上面介绍的几种衡量方式,取决于企业实施培训课程的目标。不过一定要确保我们在展开培训课程之后,员工的工作行为确实向更安全的方式转变。如果没有,我们就需要重新检讨我们的ISATP规划阶段是否出现问题。

  了解培训受众

  从用户的角度看,我们在面对企业普通员工以及面对IT员工时,所讲述的课程内容和讲课的方式,肯定是不一样的。如果课程的对象是企业管理者,讲课的内容和方式就又不一样了。比如,针对企业普通员工的课程内容应该集中在如何安全的处理日常工作上,以及应用常见安全策略的意识。而针对企业管理者的课程内容不能仅仅包含常见安全策略,还要包括全部与运营安全有关的策略,以及安全问题如何影响管理者的决策。另外,还需要让管理者意识到应当将安全措施融入企业的所有业务过程中。 最后,对于企业的IT员工和管理者来说,除了必须了解以上内容外,还需要知道企业的安全性是如何通过技术手段实现的,以及这些技术对生产过程的影响。

  总结

  安全意识培训课程内容的规划,必须以企业实际需求为基本设计原则。这需要综合来自企业各个部门的资源,并从中发现培训重点。和培训同样重要的是衡量培训的实际效果。改变人们的工作习惯并不容易,在达成目标前,我们很可能需要根据实际效果,对培训课程的内容进行一次甚至多次的调整。