企業即使投入再好的信息安全技術和產品,也難以解決內部威脅以及社會工程等攻擊手段,無法做到全面有效地保護企業信息資產。而通過開展員工的信息安全意識培訓教育工作,不僅能降低企業風險、滿足合規要求,還能避免安全團隊陷入到解決由員工安全意識薄弱引發的安全事件的工作中去,由此可以將安全資源投放到更重要的事情上,降低企業信息安全工作的成本。
信息安全意識培訓教育的驅動因素:
網絡安全法明確要求開展網絡安全意識培訓教育;行業監管要求重視信息安全意識培訓工作;隨著技術發展,業務需求發生變化,迫切需要提升員工的安全意識;網絡釣魚,垃圾郵件等社工手段威脅不斷上升;成本低、實施容易,但效果顯著的安全防護工作。不要小看信息安全意識宣傳工作 體系化是關鍵
針對員工的網絡與信息安全意識教育工作絕非簡單的通過一次現場培訓、考試,或是發發海報就能完成和取得效果的,需要綜合考慮企業的辦公文化、物理環境特點、員工辦公習慣和喜好等因素,形成體系化的安全意識教育方案,如:
制定開展員工安全意識教育工作的目標;確定教育對象的范圍,例如是全體員工,還是先覆蓋企業總部員工或其他;選定由企業內部哪個部門或人員組織開展這項工作;確定教育過程中需要向員工宣教的網絡與信息安全知識點與具體內容;梳理現有的或建立新的宣傳途徑,確定需要宣教的知識點的表現形式或教育方式;制定意識教育工作計劃,例如每月向員工推送當月主題的網絡與信息安全意識動畫,郵件發送安全意識期刊等,持續一年;評估教育方案實施相應的人力、費用投入;工作開展的過程中,在一定的時間節點回顧總結;根據效果持續改進。一份詳細的信息安全意識教育計劃
制定季度、年度、或長期的員工網絡與信息安全意識宣教計劃,是工作成功開展的重要一環,一方面根據計劃開展具體工作,另一方面,依據定期評估的結果,實時進行計劃的調整或優化。宣教計劃以目標、要求、教育對象為依據,首先確定每次宣教的知識主題與內容,然后從宣教方式、實施時間、實施頻率等不同緯度來確定具體工作,如:
每月持續向員工推送當月主題的網絡與信息安全學習內容,可以通過信息安全意識月度期刊、信息安全意識視頻課程/宣教片/動畫等方式實現;每季度針對一部分員工開展一次評估,如釣魚郵件訓練/測試;每季度發布一次季度安全通訊;每季度發布一次公司相關規定;每半年向管理層匯報一次;不定期發布近期信息安全熱點/警報;不定期發布信息安全規范/監管要求/法律法規;9月的第三周舉辦網絡安全宣傳周活動;開展2-3次強化教育,如組織安全意識現場培訓等;發放一次網絡與信息安全意識手冊,也可以在新員工入職時發給新員工。六大神器 + 一個機遇
神器1. 月度期刊
通過郵件、內網、OA等途徑,每月向員工推送不同主題的網絡與信息安全意識主題月度期刊,合理利用員工碎片化時間,積累安全知識,培養員工長期的學習習慣,提升安全意識。
神器2. 課程視頻
網絡與信息安全意識課程視頻,不同知識點重點解讀,企業可以在PC端和移動端的學習系統部署課程視頻讓大家學習,也可以和考核相結合。
神器3. 宣傳教育片
精華展示不同主題的網絡與信息安全知識內容、典型案例、風險點、正確的操作建議等,對于員工快速學習重點知識、強化印象,有很好的作用。宣傳教育片適合在全員開會或培訓時播放,或定期通過電視機、廣告屏等設備播放,也可放在內網、OA、學習系統等供員工登陸學習。
神器4. 動畫片
動畫是展現網絡與信息安全知識的一種很好的方式,具有拉近安全與員工之間距離的天然優勢。動畫的推送方式也很多樣,可以通過電視機、廣告屏等設備播放,也可放在內網、OA、學習系統等供員工登陸學習,還可以通過公司內部微信訂閱號、微信群等向員工推送。
神器5. 手冊
網絡與信息安全意識手冊除了可以向現有員工發放,在新員工入職時發給員工也是不錯的選擇,新員工在入職時,往往是學習能力最強,精力最集中,重視程度最高的時候。
神器6. 海報
海報能起到快速吸引員工的作用,在電梯內外、走廊、會議室、茶水間等處張貼網絡與信息安全意識海報,可強化員工的信息安全意識。
最佳時機:網絡與信息安全宣傳周