最近,有一名老客户找到我,说监管机关批评他们的信息安全培训工作太差,要他们补齐短板。他还说员工安全意识培训就是些没用的事情,我马上驳回,说监管机关不是无理由的提要求和挑刺头,那必定表示安全意识培训有合规方面的驱动力呀!只这一句话,把技术型的客户震住了,他服服帖帖地向我取经,谦虚地向我请教实施员工安全意识培训的理由。

我不否认,建立安全意识培训计划是一件颇具挑战性、令人沮丧甚至吃力不讨好的“杂碎活儿”。在跨国公司工作的几年里,我宁愿看一看防火墙、入侵检测的日志,宁愿多发起一些针对全网的安全漏洞扫描,也不愿意纠集一些员工到会议室宣讲安全。然而,为员工提供其必要知晓安全信息,确保他们理解并遵循最佳实践是绝对必要的。以下是所有现代组织机构必须建立并实施安全意识培训计划的几个原因。

合法合规驱动

网络安全由大量拼凑而成的法律法规管辖,包括《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、基础设施保护条例、等级保护制度等等。如果发生数据泄露,轻则警告,中则罚款,重则吊销牌照、投进大牢。所以,不要以为网络安全就是关起门来不关别人的事儿,切记,在大数据时代,国家利益和用户权益至上。通过反复强调信息安全合规守法意识,可以在“人员”层面,有效控制业务风险。各个业务环节都可能出现工作人员的网络安全违规行为,再厉害的防火墙和上网行为管理系统,也防不了内鬼把数据拷贝并带出。

业务声誉驱动

声誉在商业世界中至关重要,必须不断加以管理。管理公司声誉的一个组成部分是遵循协议以降低泄露个人信息的风险。请记住,如果贵司发生了严重的数据泄露,那么贵司的商业声誉必将受到严重打击,可能需要很长时间才能恢复。一名大意的员工只需犯一个傻错误,就能泄露客户的个人信息,进而登上头条新闻。通过不断修复“人为因素”中的弱点,贵司可以强化全面安全防线,以保护好业务安全,特别是维护良好的商业信誉。

提升客户满意度

数据泄露经常成为头条新闻,令人恐惧,公众对此感到厌倦是可以理解的。客户想知道贵司正在采取负责任的措施来保护他们的个人信息。所有员工必须就合作协议以及如何避免数据泄露达成共识。此外,还应该采取积极措施,告知客户贵司正在采取哪些措施来保护他们的信息。这就需要持续刷新人员的数据安全意识,保持职员“人脑”的更新。在合作伙伴、第三方、供应链安全越来越受到重视的今天,信息安全搞不好,员工安全意识差,只会让人们担心,业务合作甚至都不敢谈,还谈何满意呢!所以,让客户及合作伙伴放心,也是价值之一。

遵守安全政策

确保员工们遵守信息安全和隐私政策至关重要。做到这一点的最佳方法是确保向所有员工和经理提供所有已发布政策、标准和程序的副本,当然,还有就是持续培训和评估这些政策、标准和程序的实施情况。持续性改进安全管理体系,培育成熟的组织信息安全文化,保证安全保密规章制度的有效性和可执行性,员工安全意识培训是必不可少的活动。文档是一个关键部分。在每次培训期间获得所有员工和管理层签署的安全保密协议,他们了解并认可所提供的安全信息以及如何实施安全政策及相关规章制度。这表明您正在采取积极措施来执行公司的政策。

彰显尽职尽责

尽职调查确保管理层正在尽一切可能合理地确保足够的信息安全和法律合规性。由公司高管支持的有效教育计划对于展示尽职调查非常重要。网络安全及机密泄露事件有时防不胜防,管理层必须做好承诺并付出合理的行动,否则出事儿后便要担负无限的责任,断送大好的职场生涯和锦绣前程。因此,管理层必须促进“一种鼓励道德行为和遵守法律承诺的组织文化”。如果组织机构受到刑事指控,调查人员通常将考虑管理层的以下职责和期望是否达标:

  • 旨在预防和侦查犯罪行为的标准和程序;
  • 责任、权力和足够的资源以支持该计划;
  • 针对全员及重点人员的有效的意识和培训;
  • 持续的审计、监控和评估活动以跟踪有效性;
  • 促进合规的激励措施和纪律处分;
  • 应对违规行为并防止类似违规行为发生的合理步骤。

构建文化气氛

改善与职员的安全知识沟通,增强理解提升士气改进绩效。将考虑以下因素:

  • 安全培训对于提高人员意识是否有效?
  • 多久和以何种方式向员工传达安全信息?
  • 培训内容是否包括道德方面的工作实践?
  • 是否考核和验证了安全培训​​的结果(绩效)?
  • 是否所有管理人员都适用相同的政策和教育计划?
  • 员工和管理层之间是否就合规进行了明确和定期的沟通?
  • 教育计划是否定期更新以改善沟通?

总体来讲,安全意识并不是最招人喜欢的话题,许多老板们总裁们总监们并不确定该如何建立和实施信息安全意识计划。然而,全面、持续的安全意识培训对于每家公司来说都是绝对必要的。从长远来看,安全意识培训可以减少法律责任到保护企业声誉,同时,还可以转化为实际节省的资金。

昆明亭长朗然科技有限公司创作了大量的信息安全意识教程,包括各种主题在内的安全意识动画视频、电子图片和电子课件,同时,我们持续更新安全意识内容,积极应对新型网络安全威胁。此外,我们还使用在线培训系统,以帮助客户提升职员安全技能,培养良好习惯,降低安全运维成本。欢迎有需要的客户联系我们,洽谈业务合作及作品或服务的采购。