6.企业安全建设指南(金融行业安全架构与技术实践) --- 安全培训

Posted 2021-08-24 enlyhua

第6章　安全培训
6.1　安全培训的问题与“痛点”
	安全意识就是 "对风险的感知和主动规避"。
	6.1.1　信息安全意识不足的真实案例

	6.1.2　信息安全培训的必要性
		金融企业信息安全培训的必要性体现在三个方面：
			1.金融企业涉及的信息的敏感性极高
			2.金融企业信息安全的核心问题是人的安全意识
			3.金融企业信息安全意识仍然普通较为薄弱

	6.1.3　信息安全培训的“痛点”
		1.未建立系统化的信息安全培训体系
		2.培训针对性不足，培训内容不接地气
		3.培训形式单一，内容枯燥，素材匮乏，资源不足
		4.培训参与度不高
		5.未建立培训效果的考核机制

		针对以上痛点，参考实施步骤：
			1.确定培训关联方
			2.确定培训内容，培训方式和培训时机
			3.建立系统化，岗位针对性强的信息安全培训体系，形成面向对象的信息安全培训矩阵
			4.建立培训效果衡量和考核体系

6.2　信息安全培训关联方
	1.培训对象及核心诉求
		1.金融企业高管
		2.中层管理者
		3.所有部门基层员工
		4.信息科技员工
			a) 开发测试人员
			b) 对于运维人员
			c) 对于信息安全岗员工

		5.外包人员
		6.外部用户

	2.培训师资
		总体来说，有以下几种培训师资可供选择：
			a) 内部信息安全人员企业内训
			b) 外聘讲师开展企业内训
			c) 外出参加团体培训
			d) 聘请专业组织优化培训材料

6.3　信息安全培训“百宝箱”
	1.培训内容
		a) 专业知识
		b) 实用技能
		c) 安全意识

	2.培训需求分析
		a) 访谈
		b) 培训需求调查问卷
		c) 员工安全意识水平测试

	3.培训形式
		1) 现场培训
			1.专题培训
			2.交流会议

		2) Elearning 在线培训

		3) 开办内外部信息安全专栏
			1.内部专栏
			2.外部专栏

		4) 以赛代练
			1.合规知识竞赛
			2.信息安全创意作品大赛
			3.微信游戏比赛
			4.CTF 攻防大赛
		
		5) 信息安全实战演练
			1.钓鱼邮件和病毒木马
			2.社会工程学方式
			3.撞库测试
			4.弱口令

		6) 信息安全活动宣传周，信息安全活动宣传月

		7) 无处不在的安全宣传

		8) 定期发送风险提示

		9) 信息安全智能机器人系统

		10) 外部提供的信息安全培训组合服务

	4.培训时机
		1.全员每年例行培训
		2.员工入职马上培训
		3.高危人士时常培训
		4.专业人士专场培训
		5.特殊事件重点培训

6.4　面向对象的信息安全培训矩阵
6.5　培训体系实施的效果衡量