圖一: 微軟 ISATP 課程流程(摘自ISATP白皮書)
建立項目
在進入規(guī)劃階段前���,我們首先要將培訓課程設定為一個項目,并指派項目管理者和項目負責人(project champion)�����。設立項目后���,需要將項目目標和范圍(包括哪些����,不包括哪些)文檔化,并將其作為有效信息安全意識培訓課程 (ISATP) 從規(guī)劃到實施的指導文件�。
理想情況下,項目目標需要與企業(yè)當前的管理狀態(tài)盡量貼近�,以便更容易獲得批準和實施所需的資源。為了確保我們能夠朝著正確的目標前進���,可以問自己以下幾個問題:
1. 在我將要保護的信息處理環(huán)境中��,信息安全意味著什么?這些存儲的信息有多敏感���,它們是如何被處理的,是如何與外部進行信息交換的?目前實施了哪些政府強制性監(jiān)管規(guī)范(比如 HIPAA 和 SOX)?
2. 公司的安全戰(zhàn)略是什么?
3. 公司的安全策略是什么? 這些策略是如何在每日的工作中實施的?
4. 公司的關鍵業(yè)務過程是什么?
5. 安全性對員工的每日工作有哪些影響?
6. 一個嚴重的安全事故會對公司的健康狀態(tài)有多大影響?
通過回答這些問題���,可以幫助我們更好的了解信息安全意識培訓課程 (ISATP)所需的信息�����。這一信息包括了企業(yè)文化���,企業(yè)所處行業(yè),實施了哪些規(guī)范�,以及企業(yè)是如何處理或存儲敏感信息的。
雖然項目管理者有義務協(xié)調(diào)項目活動���,但是實際上是項目負責人在進行安全意識培訓課程的管理支持工作��。根據(jù)微軟的解釋�,ISATP的項目負責人是“…極具權威并且對整個企業(yè)的信息安全負有責任的人�����。”
項目小組的參與者必須包括企業(yè)所有的利益相關者��,那些參與ISATP課程規(guī)劃的團隊的負責人必須參與到項目組中����。圖二摘自 NIST SP 800-50 (建立一個信息技術安全和培訓項目),顯示了需要加入培訓內(nèi)容的一些潛在資源���。
圖二: ISATP計劃和設計所需的潛在資源來源
決定培訓內(nèi)容
我們可以根據(jù)NIST 的基本綱領對圖二所示的分類進行深入挖掘���,獲取課程所需的細節(jié)內(nèi)容以及對安全意識話題進行優(yōu)先級排列:
· 最近發(fā)生的事故 – 對于最近(最近一到兩年)發(fā)生的安全事故的評估可以顯示出員工安全意識上的薄弱點或者大多數(shù)員工目前的安全原則。
· 監(jiān)管規(guī)章問題 – 安全意識培訓課程是政府監(jiān)管規(guī)章培訓的有效補充����。
· 員工的關注點 – 很多員工已經(jīng)有了基本的安全意識。他們可以提供與信息安全相關的每日工作中存在的問題�����。
· 管理層的關注點 – 管理層的關注點一般更偏向于運營或策略方面,尤其是投資人�,廠商,客戶以及員工福利方面�。管理層的意見可以幫助完善企業(yè)內(nèi)部的安全建設。
· 客戶的關注點 – 隨著目前身份盜用案例的日益增加����,客戶越來越關注企業(yè)如何保護他們的信息。解決客戶的憂慮不僅僅是因為生意需要����,也是在做正確的事情。
· 投資者的關注點 – 投資者對企業(yè)保護敏感信息(知識產(chǎn)權����,財務信息等)能力的信心水平,決定了我們的企業(yè)獲得投資的水平�。因此在規(guī)劃企業(yè)安全水平的時候,要考慮到投資者對于安全性的期望����。
決定培訓內(nèi)容所需的信息,還可以通過以下一些企業(yè)部門獲得:
· 行政管理部門
· 信息服務部門
· 安全部門
· 市場部門
對于監(jiān)管規(guī)章有責任或者受監(jiān)管規(guī)章影響的部門���。如:
· 人力資源部門
· 法律部門
· HIPAA安全部門
· 監(jiān)管規(guī)章部門
· 客戶支持和IT維護部門
· 財務部門
· 審計部門
· 培訓部門
微軟免費的 ISATP 培訓資料是確定培訓課程內(nèi)容獲取來源的一個很好的參考資料��。
規(guī)劃培訓效果的檢驗標準
除了確定培訓內(nèi)容�,我們還應該確定如何衡量培訓目標的完成效果���,以及確定目標人群�?���?珊饬康呐嘤柲繕税ǎ?/p>
· 常見安全事故的年發(fā)生率是否下降
· 通過在線測試或者其它工具來檢驗受眾對課程的吸收程度
· 使用比如 Phishme 之類的工具針對員工進行網(wǎng)絡釣魚或者操作漏洞方面的攻擊試驗結(jié)果
是否使用上面介紹的幾種衡量方式,取決于企業(yè)實施培訓課程的目標�。不過一定要確保我們在展開培訓課程之后,員工的工作行為確實向更安全的方式轉(zhuǎn)變����。如果沒有,我們就需要重新檢討我們的ISATP規(guī)劃階段是否出現(xiàn)問題����。
了解培訓受眾
從用戶的角度看,我們在面對企業(yè)普通員工以及面對IT員工時�,所講述的課程內(nèi)容和講課的方式,肯定是不一樣的��。如果課程的對象是企業(yè)管理者,講課的內(nèi)容和方式就又不一樣了�。比如,針對企業(yè)普通員工的課程內(nèi)容應該集中在如何安全的處理日常工作上����,以及應用常見安全策略的意識。而針對企業(yè)管理者的課程內(nèi)容不能僅僅包含常見安全策略��,還要包括全部與運營安全有關的策略����,以及安全問題如何影響管理者的決策。另外���,還需要讓管理者意識到應當將安全措施融入企業(yè)的所有業(yè)務過程中����。 最后����,對于企業(yè)的IT員工和管理者來說,除了必須了解以上內(nèi)容外�,還需要知道企業(yè)的安全性是如何通過技術手段實現(xiàn)的,以及這些技術對生產(chǎn)過程的影響。
總結(jié)
安全意識培訓課程內(nèi)容的規(guī)劃��,必須以企業(yè)實際需求為基本設計原則�。這需要綜合來自企業(yè)各個部門的資源,并從中發(fā)現(xiàn)培訓重點��。和培訓同樣重要的是衡量培訓的實際效果�。改變?nèi)藗兊墓ぷ髁晳T并不容易,在達成目標前�����,我們很可能需要根據(jù)實際效果��,對培訓課程的內(nèi)容進行一次甚至多次的調(diào)整���。
