越来越多的组织开始通过信息化来改进工作流程,互联网的快速发展更是让组织的业务所信赖的信息系统和数据变得无处不在,进而使信息安全显得愈来越重要,而大部分的安全事故的起因是最终用户对安全的无知或忽视,这凸显出在快速发展的过程中对用户进行安全意识教育的明显不足。
而通过恰当的信息安全意识培训,大部分由最终用户引起的安全事故可以得到有效的避免。
可是,进行“恰当”而“有效”的信息安全意识培训并不是一件容易的事情,首先,我们要了解组织的安全现状,最终用户的安全水平,进而了解信息安全意识培训的详细需求。 其次,有了需求,我们要为组织设定信息安全意识培训的目标,目标要与组织整体的安全管理目标保持一致,目标的建立原则要明确、可衡量、可实现并且有时间限制。 在制定了培训目标之后,接着我们要为实现目标设定培训战略和培训计划,战略和计划的制定重在整合组织内外部相关的培训资源,内容包括培训角色和职责的分配,所要涵盖的安全意识主题、培训交付方式的选用、培训工作里程碑和时间表的设定。
在进行了充分的准备之后,相信培训工作的进行会令我们如愿所偿,由于最终用户的安全知识水平可能参差不齐,毕竟大部分用户并不是安全方面的专家,所以我们也要掌握一些相关的培训技巧,比如用尊重水平最差的用户,用事实说话让我们的培训更具说服力等等。
不要以为进行了一次培训就完事了,想要使组织的信息安全获得持续的改进,需要我们持续不断地对最终用户进行安全意识的灌输,和对他们的学习情况进行检测,需要我们通过一些奖励措施让最终用户对安全保持兴奋、理解和支持。
另外,安全培训本身也是个不断改进的过程,通过对最终用户信息安全认知水平、行为习惯和因人为原因造成的安全事故发生率的检测来衡量安全意识培训的绩效,找出可改善的空间,优化培训目标、战略和计划,并且循环进行,可以让我们的安全培训和安全管理水平不断得到提升。
最后,好的消息是有近半数的公司在提供了针对最终用户的信息安全意识培训之后看到了安全行为方面有明显的改进。
我们制作出了简单的在线视频培训课程,您可以通过浏览这一课程学习到更多。 |
|