企业 · 安全建设指南
编者按:
《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
第六章
安全培训
随着信息安全技术的蓬勃发展,各个厂家推出了很多功能齐全的产品,金融企业也热衷于使用技术
产品来进行防护,但是“技防”永远无法完全取代“人防”的作用,往往花费大量经费建设了很多系统,很大程度上抵挡了从企业外部发起的安全攻击,但对于因内部人员安全意识薄弱而导致的有意或无意的信息泄密,却很难完全避免,所以需要在严格的管理流程、严密的技术控制基础上,形成体系化的安全培训机制,提升内部人员的安全意识水平,才能达到综合化、一体化的防范效果。
*注:我们对部分安全意识教育产品图片进行了更新。在征得原著作者的同意后,我们使用了易念科技的最新产品图片来替换原有的原
易念科技
产品图,以更准确地反映当前市场上的产品状态。
安全意识就是“对风险的感知和主动规避”。在个人信息安全意识方面,企业员工普遍有一种“迷之自
信”,就像90%的司机都认为自己的驾驶水平高于平均水平一样。但实际上,企业员工的安全意识水平与企业的真实需要之间,往往存在着巨大的鸿沟。
我们来看几个因为信息安全意识不足,导致金融企业直接损失或面临重大声誉风险的真实案例。
多家商业银行客户信息泄露事件
2012年央视3·15晚会,曝光了一家大型商业银行、一家全国性股份制银行的内部员工,通过中介向外
兜售客户个人信息将近3000份,造成3000多万元经济损失的严重事件,对银行的声誉也造成了严重的负面影响。
从表面上看,是商业银行内部员工直接获取客户资料并用于牟利。但究其原因,是商业银行对客户
敏感信息的管控要求松懈,员工保密意识、法律意识淡薄。此外,商业银行的数据保密措施及要求存在漏洞,内部员工可以获取大量的客户敏感信息,容易造成有意识(贩卖数据)或无意识(未做好数据保密措施导致数据丢失)的保密信息泄露事件发生。
某金融机构密钥遗失事件
某年某月,某金融机构工作人员因管理疏忽,不慎遗失了一份本机构交易系统的密钥,如不法分子
拿到该密钥,即可截获破解所有交易信息和客户交易密码,给客户造成重大损失。该机构领导接到报告后,立即指示启动密钥更换工作并在最短的时间内完成,避免了客户资金损失;业务风险防范预案也相应启动,避免了因客户资金损失投诉、媒体舆情报道等带来的声誉风险。
虽然该事件最终没有造成实质性的损失,但潜在的风险隐患和内部付出的管理成本是巨大的。
远程办公导致的客户信息泄露
2014年,总部位于美国的某全球知名银行,其高级管理人员为方便工作,开通在家VPN访问内部敏
感数据的权限。黑客在攻击该银行的过程中发现该情况并马上在该高级管理人员的家用电脑上植入木马。通过遥控该木马,黑客实现“青蛙跳”进入银行内网,成功窃取了1.4亿个客户的信息,给该银行造成了巨大的损失。
钓鱼邮件导致业务瘫痪
2013年,韩国某银行的某员工误打开一封黑客钓鱼邮件并被植入木马,因该行并未限制办公电脑对互联网络的访问,黑客立刻远程遥控该员工电脑并相继攻破部分客户服务系统,在获取海量客户数据后
格式化大部分服务器硬盘,造成该行业务完全瘫痪。
冒充OA管理员的钓鱼邮件泄露用户名和密码
2014年,某金融企业的部分员工收到了一封来自“Admin”发出的邮件,自称是OA系统的管理员,因
为系统升级,需要大家修改用户名和密码,邮件中同时附上了一个网页链接,点击进去后出现用户名、原密码、新密码的输入框。由于该金融企业采用域用户单点登录OA系统和其他内部信息系统,所以该事件造成了几十个客户的域用户名和密码泄露,也就意味着伪装成OA系统管理员的攻击者获取了几十个员工的域用户名和密码,可以登录桌面终端和几乎所有的内部应用系统。幸好该事件在半天内被发现,该金融机构信息技术部门迅速采取行动,通知所有登录过该链接的员工主动修改密码,阻止了后续攻击事件,避免给企业造成实质性损失。
(配图由易念科技提供新产品图)
2016年,某金融企业信息科技部门突然收到财务总监(CFO)的电话,其办公电脑突然变成蓝屏,
上面有一些英文提示,大意是该电脑中的所有资料已经被加密,需要在五天之内向某国外银行账号缴纳大约相当于人民币6000元的赎金,就可以拿到解密的密钥。
后来查明,该财务总监曾收到过一封标题类似“应收账款”的邮件,以为是供应商催款,但在点击执行附件后,屏幕就不幸中招了。由于缴纳赎金后是否能解决问题尚且是个未知数,该财务总监只好忍痛割爱,让科技人员重装了电脑操作系统,该电脑上所有的历史资料全部丢失。
上面几个案例,都是金融企业员工信息安全意识不足导致的教训,也说明提升员工信息安全意识,
减少信息安全事件的发生,对于金融企业来说多么重要。
金融行业是直接面向客户且直接与金钱打交道的行业,金融行业员工信息安全意识水平的高低,直
接影响信息安全工作的成败,对客户信息和客户资金的安全至关重要。通过信息安全培训提高金融企业员工的信息安全意识水平,将全员信息安全意识的点滴提升作用到具体的工作中,可以成倍地放大信息安全工作的效果。具体来说,金融企业信息安全培训的必要性体现在三方面。
金融企业涉及信息的敏感性极高
金融企业是面向广大客户提供金融服务的行业,涉及的信息主要包括:
·与客户相关的信息,主要包括客户基本信息、客户账户信息以及客户交易信息等。这几类信息都涉
及广大客户的个人利益和资金安全,互相之间环环相扣,任何一类信息的泄露,都可能对客户的资金安全造成威胁并对金融企业的声誉构成风险,严重的甚至会造成金融秩序混乱、经营活动无法正常开展。因此客户信息的保护成为金融机构信息安全管理工作的重中之重。
·金融企业经营管理活动相关的内部信息,包括战略规划信息、金融产品信息、经营活动信息及相关
的报表报告等。这些信息代表了金融企业工作的发展战略、管理政策和营销策略等,能为企业带来经济利益,如果泄露,可能直接或间接影响企业的商业利益,造成金融企业的严重经济损失或经营风险。金融企业的从业人员,或多或少都会直接或间接地接触到上述内外部敏感信息。大多数信息安全事件的发生都源自于员工主动或被动地泄露信息,员工信息安全意识的提升可以极大地减少安全事件中的内部人为因素,因此金融企业对于信息安全培训必须尤为重视,每位从业人员都需要认真学习、理解、执行信息安全管理规范,提升自身的安全意识,方能切实有效地保护金融企业的客户信息和内部信息。
金融企业信息安全的核心问题是人的安全意识
决定一个企业信息安全防护效果的,归根结底还是在于人,人是信息安全中最核心的问题之一。任
何的安全管理体系、安全技术、安全产品或服务,都无法保证每一个人远离每一种可能存在的安全风险。因为无论多么严密的管理体系,多么先进的设备,多么严谨的系统,多么完备的数据,如果普通员工的信息安全意识不足,专业人员的信息安全技能不足,都会导致管理流于形式,设备形同虚设,数据空中楼阁。
试想,一个严密的金融机构数据中心机房访问控制系统,如果门口保安无视规则、玩忽职守,随意放人进出,那么再多的安检、门禁、指纹或人脸识别等身份鉴别手段,又有何用?部署最先进的网络安全设备,如果不定期更新安全策略和规则库,不严格对服务器或者终端打上最新的补丁,黑客们岂不是仍然可以“如入无人之境”?再者,花大价钱部署了最佳的桌面安全防护系统,但员工点击了一个钓鱼网站,主动或被动对外发送他们认为无关紧要、实则非常重要而敏感的信息,一切都将功亏一篑。
上述种种情形,都将会给企业带来不可估量的损失。特别是对将信息流和资金流视为命脉的金融企
业来说,如果信息安全专业能力不到位,信息安全意识不匹配,客户信息的安全、资金的直接损失,可能是时刻面临的威胁。
因此,员工信息安全意识水平的高低,直接决定了信息安全总体防护水平和信息安全管理工作的成
败。通过提升各级员工和外部用户的信息安全意识,让安全专业人员掌握必要的技能,让普通员工养成安全习惯,让外部用户建立自我保护意识,是面对安全威胁的最佳方式。而要达到该目的,就需要在整个金融企业内树立信息安全意识,对各类人员建立针对性的信息安全培训方案,才能提高金融企业的整体信息安全防控水平。
金融企业信息安全意识仍然普遍较为薄弱
根据信息安全研究机构的统计,在所有企业的信息安全事故中,只有20%~30%是因为黑客入侵或其
他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄露造成的。
另外,国内一家信息安全专业咨询机构曾经对国内企业员工信息安全意识进行了一项调查,选取了
一些基本的信息安全要求对企业员工进行问卷调查,结果如下:
·37.4%的受访者会直接或者简单询问后就让尾随的外部人员直接进入办公场所。
·36.6%的受访者会在办公桌面放密级资料。33%的受访者会在电脑桌面存放密级资料。
·56.8%的受访者采取的是不锁抽屉、不锁抽屉钥匙放在抽屉里、锁抽屉但钥匙放在桌上或笔筒等地
方这些不安全的抽屉物品保管行为。
·接近50%的受访者选择不安全的设置电脑屏保、密码方式。选择数字+字母+符号+大小写这种相对最
为完全的口令/密码设置规则的人所占比例仅为25.4%。
·当收到熟人发送的自动播放flash动画或邮件内部嵌入的网页时,59.2%的人会看动画、下载动画、浏览网页或点击网页链接。
从以上调查结果可以看出,超过一半以上的企业员工对基本的信息安全要求没有形成相应的意识和
行动,企业信息安全工作面临着极大的风险隐患。
虽然没有专门针对金融企业员工信息安全意识调查的具体数据,但从近几年金融企业客户信息泄
露、信息安全攻击事件时有发生的现象来看,金融企业的信息安全意识现状也是不容乐观的。
随着金融企业对信息安全的日益重视,大部分金融企业已经投入大量的资金购买安全技术,投入较
为充足的人力用于安全管理体系建设,但是,在人员信息安全培训上却投入甚少,往往忽略了人是信息安全管理的最大威胁,人的安全意识薄弱是信息安全管理的最短板。随着业务迅猛发展,金融企业面临的信息安全风险压力越来越大,必须在信息安全培训上加大投入,提升全体员工的安全意识,才可以更好地化解风险。
随着各类信息安全事件的爆发,金融企业信息安全培训的重要性已经越来越得到重视,部分金融企
业开始着手信息安全培训工作,但目前仍存在一些“痛点”。
·
未建立系统化的信息安全培训体系。
大部分金融企业的信息安全培训仍是零散的、随需而做的,尚
未形成整体的、有机的、立体的信息安全培训规划,缺乏系统化的信息安全培训体系。
·
培训针对性不足,培训内容不接地气。
大部分金融企业信息安全培训需求分析不到位,经常是一套
培训材料就“放之四海而皆准”,不能根据培训对象面临的常见问题和岗位特点定制培训内容,导致培训内容针对性不足,经常不接地气,员工往往“知其然而不知其所以然”,对日常工作不能起到直接的、实质性的帮助,培训工作因此变成了为培训而培训。
·
培训形式单一,内容枯燥,素材匮乏,资源不足。
大部分金融机构采用单一的课堂教学方式培训,
缺乏日常碎片式、体验式的素材。枯燥的培训方式自然效果不佳,因此需要创新培训形式,激发员工的兴趣和自主性,促进员工利用碎片化时间主动学习。
·
培训参与度不高。
大部分金融企业的员工都非常忙碌,如果不能正确认识到信息安全培训对他们工
作的帮助作用,占用正常工作时间的信息安全培训往往变成了迫于无奈、枯燥无味的“工作任务”,培训过程就成了应付式的参与,能不参加就不参加,即使参加了也是“身在曹营心在汉”,导致培训效果大打折扣。
·
未建立培训效果的考核机制。
大部分金融企业的信息安全培训仅仅有个调查问卷或者随堂测验,未
建立起有效的量化考核机制。对于培训内容是否得到执行,安全意识是否有提升,是否作用到金融机构员工的日常工作中,都没有衡量机制。因此需要通过一些技术手段、检查手段、考核机制来促进培训内容的落地执行。
解决上述“痛点”,需要对症下药、因材施教,形成一套覆盖全面、形式多样的信息安全培训体系。
可以参考以下步骤实施:
1)确定培训关联方,一方面明确培训对象及核心诉求,另一方面选择合适的培训师资力量。
2)确定培训内容、培训方式和培训时机。3)建立系统化、岗位针对性强的信息安全培训体系,形成面向对象的信息安全培训矩阵。
4)建立培训效果衡量和考核体系,根据结果优化改进培训体系,形成螺旋上升的长效机制。
一个行之有效的培训体系,首先需要安排好培训的双方,一方面是培训的接收方(即培训对象),
要清晰地了解不同培训对象的诉求并明确培训主题和培训重点;另一方面是培训的授予方(即培训老师),要针对不同的培训对象和培训主题合理地安排培训老师,方能起到良好的效果。
培训对象及核心诉求
金融企业的高管、中层管理者、业务部门工作人员、信息科技人员、行政综合人员等,这些不同工
作岗位的人员,由于工作职责、岗位能力要求有差异,接触的信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案,将有效地降低工作中蕴含的风险隐患。
(1)金融企业高管
金融企业高管应该首当其冲地成为信息安全培训受众。原因主要有两方面:一是金融企业高管接触
的信息面广、层次高、敏感信息多,而由于工作忙碌往往容易造成对信息保密的疏忽,因此常常成为“性价比最高”的重点攻击对象;二是金融企业高管接受信息安全意识培训,可以对全员信息安全意识提升起到表率作用,带动全员重视信息安全、尊重信息安全的氛围。
金融企业高管的信息安全培训,重点应该放在信息安全战略和信息安全意识宣导方面,应该帮助高
管了解金融企业信息安全战略方向、信息安全相关法律法规、主要的信息科技监管要求和监管趋势、金融科技时代下信息安全新形势和管理新特点、信息安全组织架构、金融企业信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等,为金融企业内部推行各类信息安全和风险控制措施奠定基础。
(2)中层管理者
金融企业的中层管理人员,是“承上启下”地执行战略和政策的中坚力量,如果对信息安全理解到
位,既可以很好地贯彻执行企业的信息安全战略,也可以带动基层员工们主动落实信息安全防护措施,监督措施执行到位。
中层管理人员的信息安全培训,应侧重于信息安全基本概念、信息安全相关法律法规、信息科技监
管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面,使他们理解什么是信息安全,为什么要重视信息安全,本人管辖领域内哪些工作会涉及信息安全,以及怎样做好信息安全风险防控。
(3)所有部门基层员工
基层员工是直接从事信息采集、传输、使用的人员,是信息安全政策和具体措施的执行者。由于基
层员工数量众多、接触的具体信息丰富,很容易被打开突破口,成为最容易泄密的群体。
基层员工的信息安全培训,应侧重于银行信息安全相关的制度和流程的具体内容、与信息安全行为
相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面,目的是帮助基层员工树立信息安全保护的理念,提高合规操作和风险防范的意识,掌握具体的信息安全风险防控技能,降低因员工工作疏忽、操作不规范或有意泄露而造成的威胁。
(4)信息科技员工
信息科技部门的员工,是信息安全政策落地的核心力量,更是信息安全管理和技术措施的直接执行
者和捍卫者。这个团队的信息安全水平,在很大程度上影响了金融企业的信息安全整体水平。
信息科技部门各个不同团队的信息安全培训,有不同的侧重点:
·对于开发测试人员,应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术
规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等。
·对于运维人员,应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规
范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等。
·对于信息安全岗员工,是信息安全培训体系的制订者和维护者,一方面应该掌握设计信息安全培训
体系的方法,另一方面应接受有关监管趋势及要求、风险评估、安全检查知识和技能、信息安全技术工具的策略和操作技能等方面的培训。
(5)外包人员
金融企业存在大量的外包工作,出于成本节约和人员编制的考虑,一方面,业务部门需要将后台集
中作业流程、借记卡和信用卡申请资料录入、催收和外呼等附加值较低的工作外包给成本较低的专业团队执行;另一方面,科技部门有大量的开发任务需要外包给科技公司完成,个别金融企业还会将部分运维工作外包。外包人员可能接触到金融企业的客户信息、系统开发和设计文档等大量的敏感信息,需要接受信息安全培训。
外包人员的信息安全培训,应侧重于金融企业外包制度和流程的具体内容、金融企业信息的分类和
信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面,使外包人员树立信息安全保护意识,了解信息安全行为失当导致的严重后果,提高日常工作的合规性,产生对信息安全的“敬畏之心”。
(6)外部用户
大量的事实表明,很多的风险案例是由于客户对个人客户信息(例如用户名和密码等敏感信息)保
管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。因此,加强对客户及其他外部用户的信息安全意识教育和宣传培训,显得极其重要。
外部用户的信息安全培训,应侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全
宣传标语等,甚至可以通过短视频、安全段子等生动活泼、通俗易懂的方式,让客户对信息安全保护相关内容印象深刻,引以为鉴。
综上所述:
·一个信息安全意识强的金融企业高管,可以带来更好的对内信息安全政策,对外更谨慎的信息披
露。
·一个信息安全意识强的中层管理者,可以承上启下地做好信息安全防控措施的落地执行。
·一个信息安全意识强的业务人员,可以更好地保护客户信息,需求中的业务风险控制要求会提得更
为充分。
·一个信息安全意识强的开发人员,可以有意识地对应用系统设计开发更合理的安全控制措施,减少
应用漏洞发生。
·一个信息安全意识强的外包人员,会在数据处理或系统开发时自觉遵守金融企业的安全要求,不越权操作或泄漏敏感信息。
·一个信息安全意识强的金融企业客户,会在面临电信诈骗或钓鱼攻击时保持清醒,避免上当和蒙受
损失。
信息安全培训对于金融企业各级员工、外包人员、外部客户的帮助是显而易见的,需要当作一个整
体的培训体系来设计和实施。
培训师资
针对不同的培训对象,培训师资的选择也应该有所区别。总体来说,有以下几种培训师资可供选
择。
(1)内部信息安全人员企业内训
针对基层员工和外包人员,由企业内部的信息安全人员开展内训是较好的选择,因为信息安全人员
对于本企业内部的信息安全情况了解最为深入,非常清楚应该保护的信息主要有哪些,对规章制度、主要风险心中有数,可以结合日常信息安全检查工作中发现的具体风险事件案例,剖析产生风险的原因、应对措施等,并针对操作性要求进行详细的分析和讲解,做到有的放矢。
(2)外聘讲师开展企业内训
针对企业高管、中层管理者,基于“外来和尚好念经”的原则,以及对监管趋势、同业案例更为了解
的要求,外聘讲师入行培训是一个更优的选择。
在讲师的选择方面,要特别注意讲师的实际信息安全工作经验。纯理论的讲解难以深入人心,必须
理论联系实际,因此最好选择曾经制定过金融行业信息安全标准、在金融企业做过咨询等工作背景的讲师,才能准确把控监管机构对金融企业和管理者的要求,以及准确选取同业曾经有过“切肤之痛”且跟企业现状最为匹配的案例。
(3)外出参与团体培训
针对信息科技部门的开发、运维和信息安全人员,适当外出参加团体性的专业类培训不无益处:一
方面,可以开拓眼界,提升自身专业水平,有利于回来转训;另一方面,可以创造机会与同业交流,扩展自己的知识面和人脉资源。要保证培训效果,培训机构的选择至关重要。
由于金融行业信息安全管控标准普遍高于其他行业,因此建议选择专门面向金融类从业人员的培训机构,更为了解金融行业的特点、信息安全工作的重点以及信息科技相关监管要求等,行业内的交流也可以更加深入。
(4)聘请专业组织优化培训材料
针对金融企业的广大客户,只能通过金融企业的分支机构、电子渠道等方式触达客户,因此需要在
金融企业内部人员设计的培训内容及案例的基础上,寻求一些专业的培训设计公司,对培训的形式、内容进行一定的优化,提高可读性和趣味性,确保客户能够理解培训内容,从而提高客户信息安全意识。
信息安全培训对象、师资力量确定后,就可以针对不同的培训对象,定制差异化的培训内容,利用
不同的培训形式,选择适当的时机开展培训。
培训内容
金融企业信息安全培训的内容可以分为专业知识、实用技能、安全意识三大类。考虑到第5章已经详
细地阐述了信息安全专业人士应该掌握的知识和技能,本节重点针对非信息安全专业人士的培训内容进行分析。
(1)专业知识
对于非信息安全专业人士来说,需要掌握的信息安全知识主要包括:
·法律法规关于信息安全管理的要求。
·主要的与信息安全相关的监管要求和行业标准。
·信息安全管理体系的基本概念和管理要点。
·信息安全规章制度和流程中的重点要求。
·信息安全的基本定义(CIA三性)、主要内涵、关键风险及对策等。
·信息的分级分类和每个级别对应的安全管控措施
。
(2)实用技能
对于非信息安全专业人士来说,需要掌握的信息安全实用技能主要包括:
·对于业务人员,需要防钓鱼、防信息泄漏、邮件安全、密码安全、文档保密等基本的防护技能。
·对于信息科技开发人员,需要安全开发的概念和主要要求。
·对于信息科技运维人员,需要安全运维的概念和主要要求。·对于所有人员,需要信息安全应急管理与业务连续性管理实践技能。
(3)安全意识
与安全意识相关的主要内容包括:
·同业主要信息安全风险事件案例的现象、原因分析和应对措施分析。
·金融机构最为常见的客户信息泄露、密码泄露、病毒木马、电信诈骗等手段及对应的防范措施。
培训需求分析
培训需求分析的目的是,针对培训对象挑选出适当的培训内容,确保培训的效果能够满足企业对员
工信息安全意识水平的要求。培训需求分析是培训的首要和重要环节,如果需求分析做得不到位,可能导致南辕北辙。
信息安全培训内容包罗万象,不是越全越好,也不是内容越专业越好,所谓“适合的就是最好的”,
所以必须根据培训对象的需求、知识结构、技能状况、当前信息安全意识水平等因素做出合适的选择,因材施教,方可达到最好的效果。确定培训需求的方式主要有:
·访谈。一方面,可以通过与管理层访谈,获取对培训对象的期望;另一方面,与培训对象的代表访
谈,了解其关于信息安全领域的“痛点”和期望达到的效果。访谈可以设置一些封闭性的和开放性的问题来开展。
·培训需求调查问卷。以问卷形式列出一组问题,可以包括封闭性问题和开放性问题,要求调查对象
就问题进行打分、做选择或者给出描述性回答,调查问卷可以全员参与。
·员工安全意识水平测试。通过一些简单的测试题,或者专业培训机构提供的测试软件,获知培训对
象的信息安全意识水平、主要短板等,从而有针对性地设计培训内容。培训需求分析结束后,就需要结合当年的培训预算,确定具体的培训内容、培训方式和培训计划。
培训形式
金融企业既可以采用现场培训、交流会议、知识竞赛等方式面对面开展培训,也可以采用Elearning
电子学习平台、安全意识动画、电子期刊、宣传海报、桌面温馨提示等多种生动、直观、鲜活的宣传培训方法,寓教于乐,提升培训效果。还可以采用安全竞赛的方式,提高员工主动参与的积极性。
(1)现场培训
现场培训是最常见的一种集中开展的培训形式,优点是大家精力比较集中,交流较为充分,在主题
的选择上可以更为聚焦,讲解上可以更为深入。以下是两种常见的现场培训方式:
·专题培训。选择几个最重要的信息安全主题,在深度上下功夫,把信息安全知识讲到位、讲透彻。
针对高管层、管理者等对信息安全知识涉及面很广的培训,以及针对开发安全、运维安全等比较有深度
的培训,都适合采用这种方式。
·交流会议。选择一些实践经验比较丰富的机构,现场做案例讲解,也可以针对金融机构内部的常见
问题,由信息安全团队进行综合分析后讲解。对于金融企业内部涉及多个分支机构、多个部门,面临的信息安全环境和防护措施具备一定相似性的培训场景,适合采用这种方式。
(2)LMS在线培训
LMS在线培训(如图6-1所示),由于3A(Anytime,Anywhere,Anyway,任何时间、任何地
点、多种方式)的特性,因此最适合针对全员的培训。
(配图由易念科技提供新产品图替换)
与现场培训不同,LMS在线培训更适合普及性的、内容相对简短的培训,推荐的方式是选择一
些重要的知识点,用案例的方式生动活泼地表现出来,其中再穿插讲解风险要点、规避措施和管理要求。例如,可以选择办公安全、客户信息保护、邮件安全、密码安全、文档保密等与所有员工都密切相关的主题,开展信息安全意识动漫制作及宣传教育,使员工们时刻牢记“安全无小事”,将日常信息安全行为规范转化为个人习惯,并长期持续地坚持下去。
(3)开办内外部信息安全专栏
信息安
全专栏可以向内外部客户提供专业化、有深度的信息安全服务,引起内部员工和外部客户对
信息安全的重视,主动学习各种技巧以防范可能随时面临的风险。主要形式有:
·内部专栏。在内部门户系统或办公自动化系统中开设信息安全专栏(如图6-2所示),随时发布与信
息安全相关的内容,例如,主要的信息安全法律法规要点,国家层面关于网络安全防范的重要战略和指示精神,监管新动向,新发生的信息安全事件及防范措施等,提供一个方便的渠道以便员工学习和了解。为了拓展专栏的内容,可以举办征文大赛或者设立特约撰稿人,以保证来稿的数量和质量。
·外部专栏。在金融企业的微信公众号上,发布与信息安全意识相关的文章、图片、视频等,重点是
向客户宣贯一些与信息安全相关的小案例、风险防范小技巧等。特别是可以结合一些热点新闻(如电信诈骗事件、网络钓鱼事件、客户信息泄露事件导致资金损失等),深度挖掘并向客户详解事件发生情况,提供图文并茂的实用防范技巧。所有外部专栏的内容,均可以通过微信群转发内部员工分享。
(配图由易念科技提供新产品图替换)
(4)以赛代训
以赛代训的优点是避免枯燥的、教条主义的灌输和说教,通过竞赛的方式,提高培训对象的参与
度,调动培训对象的热情,从而加深印象。可以考虑的竞赛方式包括:·合规知识竞赛。针对信息安全知识和技能要求,设计一些形式活泼的考题,例如,判断题、单选题、多选题、案例题等,通过分组比赛的方式,安排必答题和抢答题等形式,强化员工们对信息安全工作要求的理解,激发员工对信息安全知识和技能的学习热情,进而提高全体员工的信息安全风险及合规意识,营造良好的信息安全风险管控和合规工作气氛。
