信息安全意识教育计划应该包括什么内容?

9月份,中国全国范围的网络安全周在全国搞得轰轰烈烈。不过除了充斥厂商的产品宣传,真正安全意识培训的内容却乏善可陈。

10月份,美国的安全意识月迎来了15第十个年头,通过各种形式提升全民的安全意识是其主要目标。游戏化、趣味化提升了普通用户参与的热情。在企业内部推行安全意识培训,在胡萝卜与大棒之间,似乎前者更加有效。

我们都知道,通过开展员工的信息安全意识培训教育工作,不仅能降低企业风险、满足合规要求,还能避免安全团队陷入到解决由员工安全意识薄弱引发的安全事件的工作中去,由此可以将安全资源投放到更重要的事情上,降低企业信息安全工作的成本。

信息安全意识培训教育的驱动因素:

  • 网络安全法明确要求开展网络安全意识培训教育;

  • 行业监管要求重视信息安全意识培训工作;

  • 随着技术发展,业务需求发生变化,迫切需要提升员工的安全意识;

  • 网络钓鱼,垃圾邮件等社工手段威胁不断上升;

  • 成本低、实施容易,但效果显著的安全防护工作。

不要小看信息安全意识宣传工作 体系化是关键

针对员工的网络与信息安全意识教育工作绝非简单的通过一次现场培训、考试,或是发发海报就能完成和取得效果的,需要综合考虑企业的办公文化、物理环境特点、员工办公习惯和喜好等因素,形成体系化的安全意识教育方案,如:

  • 制定开展员工安全意识教育工作的目标;

  • 确定教育对象的范围,例如是全体员工,还是先覆盖企业总部员工或其他;

  • 选定由企业内部哪个部门或人员组织开展这项工作;

  • 确定教育过程中需要向员工宣教的网络与信息安全知识点与具体内容;

  • 梳理现有的或建立新的宣传途径,确定需要宣教的知识点的表现形式或教育方式;

  • 制定意识教育工作计划,例如每月向员工推送当月主题的网络与信息安全意识动画,邮件发送安全意识期刊等,持续一年;

  • 评估教育方案实施相应的人力、费用投入;

  • 工作开展的过程中,在一定的时间节点回顾总结;

  • 根据效果持续改进。

一份详细的信息安全意识教育计划

制定季度、年度、或长期的员工网络与信息安全意识宣教计划,是工作成功开展的重要一环,一方面根据计划开展具体工作,另一方面,依据定期评估的结果,实时进行计划的调整或优化。宣教计划以目标、要求、教育对象为依据,首先确定每次宣教的知识主题与内容,然后从宣教方式、实施时间、实施频率等不同纬度来确定具体工作,如:

  • 每月持续向员工推送当月主题的网络与信息安全学习内容,可以通过信息安全意识月度期刊、信息安全意识视频课程/宣教片/动画等方式实现;

  • 每季度针对一部分员工开展一次评估,如钓鱼邮件训练/测试;

  • 每季度发布一次季度安全通讯;

  • 每季度发布一次公司相关规定;

  • 每半年向管理层汇报一次;

  • 不定期发布近期信息安全热点/警报;

  • 不定期发布信息安全规范/监管要求/法律法规;

  • 9月的第三周举办网络安全宣传周活动;

  • 开展2-3次强化教育,如组织安全意识现场培训等;

  • 发放一次网络与信息安全意识手册,也可以在新员工入职时发给新员工。

六大神器 + 一个机遇

神器1. 月度期刊

通过邮件、内网、OA等途径,每月向员工推送不同主题的网络与信息安全意识主题月度期刊,合理利用员工碎片化时间,积累安全知识,培养员工长期的学习习惯,提升安全意识。

神器2. 课程视频

网络与信息安全意识课程视频,不同知识点重点解读,企业可以在PC端和移动端的学习系统部署课程视频让大家学习,也可以和考核相结合。

神器3. 宣传教育片

精华展示不同主题的网络与信息安全知识内容、典型案例、风险点、正确的操作建议等,对于员工快速学习重点知识、强化印象,有很好的作用。宣传教育片适合在全员开会或培训时播放,或定期通过电视机、广告屏等设备播放,也可放在内网、OA、学习系统等供员工登陆学习。

神器4. 动画片

动画是展现网络与信息安全知识的一种很好的方式,具有拉近安全与员工之间距离的天然优势。动画的推送方式也很多样,可以通过电视机、广告屏等设备播放,也可放在内网、OA、学习系统等供员工登陆学习,还可以通过公司内部微信订阅号、微信群等向员工推送。

神器5. 手册

网络与信息安全意识手册除了可以向现有员工发放,在新员工入职时发给员工也是不错的选择,新员工在入职时,往往是学习能力最强,精力最集中,重视程度最高的时候。

神器6. 海报

海报能起到快速吸引员工的作用,在电梯内外、走廊、会议室、茶水间等处张贴网络与信息安全意识海报,可强化员工的信息安全意识。

(0)

相关推荐