圖一: 微軟 ISATP 課程流程(摘自ISATP白皮書)
建立項(xiàng)目
在進(jìn)入規(guī)劃階段前�����,我們首先要將培訓(xùn)課程設(shè)定為一個項(xiàng)目,并指派項(xiàng)目管理者和項(xiàng)目負(fù)責(zé)人(project champion)��。設(shè)立項(xiàng)目后����,需要將項(xiàng)目目標(biāo)和范圍(包括哪些,不包括哪些)文檔化���,并將其作為有效信息安全意識培訓(xùn)課程 (ISATP) 從規(guī)劃到實(shí)施的指導(dǎo)文件�。
理想情況下��,項(xiàng)目目標(biāo)需要與企業(yè)當(dāng)前的管理狀態(tài)盡量貼近����,以便更容易獲得批準(zhǔn)和實(shí)施所需的資源。為了確保我們能夠朝著正確的目標(biāo)前進(jìn)����,可以問自己以下幾個問題:
1. 在我將要保護(hù)的信息處理環(huán)境中,信息安全意味著什么?這些存儲的信息有多敏感�,它們是如何被處理的,是如何與外部進(jìn)行信息交換的?目前實(shí)施了哪些政府強(qiáng)制性監(jiān)管規(guī)范(比如 HIPAA 和 SOX)?
2. 公司的安全戰(zhàn)略是什么?
3. 公司的安全策略是什么? 這些策略是如何在每日的工作中實(shí)施的?
4. 公司的關(guān)鍵業(yè)務(wù)過程是什么?
5. 安全性對員工的每日工作有哪些影響?
6. 一個嚴(yán)重的安全事故會對公司的健康狀態(tài)有多大影響?
通過回答這些問題�����,可以幫助我們更好的了解信息安全意識培訓(xùn)課程 (ISATP)所需的信息。這一信息包括了企業(yè)文化�,企業(yè)所處行業(yè),實(shí)施了哪些規(guī)范�,以及企業(yè)是如何處理或存儲敏感信息的。
雖然項(xiàng)目管理者有義務(wù)協(xié)調(diào)項(xiàng)目活動��,但是實(shí)際上是項(xiàng)目負(fù)責(zé)人在進(jìn)行安全意識培訓(xùn)課程的管理支持工作�。根據(jù)微軟的解釋���,ISATP的項(xiàng)目負(fù)責(zé)人是“…極具權(quán)威并且對整個企業(yè)的信息安全負(fù)有責(zé)任的人���。”
項(xiàng)目小組的參與者必須包括企業(yè)所有的利益相關(guān)者,那些參與ISATP課程規(guī)劃的團(tuán)隊(duì)的負(fù)責(zé)人必須參與到項(xiàng)目組中�����。圖二摘自 NIST SP 800-50 (建立一個信息技術(shù)安全和培訓(xùn)項(xiàng)目)�,顯示了需要加入培訓(xùn)內(nèi)容的一些潛在資源。
圖二: ISATP計(jì)劃和設(shè)計(jì)所需的潛在資源來源
決定培訓(xùn)內(nèi)容
我們可以根據(jù)NIST 的基本綱領(lǐng)對圖二所示的分類進(jìn)行深入挖掘��,獲取課程所需的細(xì)節(jié)內(nèi)容以及對安全意識話題進(jìn)行優(yōu)先級排列:
· 最近發(fā)生的事故 – 對于最近(最近一到兩年)發(fā)生的安全事故的評估可以顯示出員工安全意識上的薄弱點(diǎn)或者大多數(shù)員工目前的安全原則����。
· 監(jiān)管規(guī)章問題 – 安全意識培訓(xùn)課程是政府監(jiān)管規(guī)章培訓(xùn)的有效補(bǔ)充�。
· 員工的關(guān)注點(diǎn) – 很多員工已經(jīng)有了基本的安全意識�。他們可以提供與信息安全相關(guān)的每日工作中存在的問題。
· 管理層的關(guān)注點(diǎn) – 管理層的關(guān)注點(diǎn)一般更偏向于運(yùn)營或策略方面��,尤其是投資人��,廠商�,客戶以及員工福利方面。管理層的意見可以幫助完善企業(yè)內(nèi)部的安全建設(shè)���。
· 客戶的關(guān)注點(diǎn) – 隨著目前身份盜用案例的日益增加�����,客戶越來越關(guān)注企業(yè)如何保護(hù)他們的信息���。解決客戶的憂慮不僅僅是因?yàn)樯庑枰彩窃谧稣_的事情��。
· 投資者的關(guān)注點(diǎn) – 投資者對企業(yè)保護(hù)敏感信息(知識產(chǎn)權(quán)���,財(cái)務(wù)信息等)能力的信心水平�����,決定了我們的企業(yè)獲得投資的水平�����。因此在規(guī)劃企業(yè)安全水平的時候��,要考慮到投資者對于安全性的期望�����。
決定培訓(xùn)內(nèi)容所需的信息����,還可以通過以下一些企業(yè)部門獲得:
· 行政管理部門
· 信息服務(wù)部門
· 安全部門
· 市場部門
對于監(jiān)管規(guī)章有責(zé)任或者受監(jiān)管規(guī)章影響的部門����。如:
· 人力資源部門
· 法律部門
· HIPAA安全部門
· 監(jiān)管規(guī)章部門
· 客戶支持和IT維護(hù)部門
· 財(cái)務(wù)部門
· 審計(jì)部門
· 培訓(xùn)部門
微軟免費(fèi)的 ISATP 培訓(xùn)資料是確定培訓(xùn)課程內(nèi)容獲取來源的一個很好的參考資料。
規(guī)劃培訓(xùn)效果的檢驗(yàn)標(biāo)準(zhǔn)
除了確定培訓(xùn)內(nèi)容�,我們還應(yīng)該確定如何衡量培訓(xùn)目標(biāo)的完成效果,以及確定目標(biāo)人群���?����?珊饬康呐嘤?xùn)目標(biāo)包括:
· 常見安全事故的年發(fā)生率是否下降
· 通過在線測試或者其它工具來檢驗(yàn)受眾對課程的吸收程度
· 使用比如 Phishme 之類的工具針對員工進(jìn)行網(wǎng)絡(luò)釣魚或者操作漏洞方面的攻擊試驗(yàn)結(jié)果
是否使用上面介紹的幾種衡量方式�,取決于企業(yè)實(shí)施培訓(xùn)課程的目標(biāo)。不過一定要確保我們在展開培訓(xùn)課程之后�,員工的工作行為確實(shí)向更安全的方式轉(zhuǎn)變。如果沒有��,我們就需要重新檢討我們的ISATP規(guī)劃階段是否出現(xiàn)問題�。
了解培訓(xùn)受眾
從用戶的角度看,我們在面對企業(yè)普通員工以及面對IT員工時�����,所講述的課程內(nèi)容和講課的方式����,肯定是不一樣的。如果課程的對象是企業(yè)管理者�,講課的內(nèi)容和方式就又不一樣了。比如��,針對企業(yè)普通員工的課程內(nèi)容應(yīng)該集中在如何安全的處理日常工作上�����,以及應(yīng)用常見安全策略的意識。而針對企業(yè)管理者的課程內(nèi)容不能僅僅包含常見安全策略����,還要包括全部與運(yùn)營安全有關(guān)的策略,以及安全問題如何影響管理者的決策�。另外,還需要讓管理者意識到應(yīng)當(dāng)將安全措施融入企業(yè)的所有業(yè)務(wù)過程中�����。 最后�����,對于企業(yè)的IT員工和管理者來說���,除了必須了解以上內(nèi)容外,還需要知道企業(yè)的安全性是如何通過技術(shù)手段實(shí)現(xiàn)的�����,以及這些技術(shù)對生產(chǎn)過程的影響�����。
總結(jié)
安全意識培訓(xùn)課程內(nèi)容的規(guī)劃,必須以企業(yè)實(shí)際需求為基本設(shè)計(jì)原則�。這需要綜合來自企業(yè)各個部門的資源,并從中發(fā)現(xiàn)培訓(xùn)重點(diǎn)����。和培訓(xùn)同樣重要的是衡量培訓(xùn)的實(shí)際效果。改變?nèi)藗兊墓ぷ髁?xí)慣并不容易����,在達(dá)成目標(biāo)前,我們很可能需要根據(jù)實(shí)際效果�����,對培訓(xùn)課程的內(nèi)容進(jìn)行一次甚至多次的調(diào)整�。
