免费安全培训课程 提高员工安全意识

ZDNet安全频道原创翻译 转载请注明作者以及出处

信息安全意识培训课程是企业安全项目中重要的一环，但却也是很容易被忽视的环节。为此我们推出了企业用户信息安全意识培训课程专题文章，涉及整个培训过程的各个方面，从最初的获得培训经费，计划培训内容，实施培训，到最后的评估培训效果均有详细介绍。
-------------------------------------------------------------------------------------------

概  述

作为安全方面的专家，我们经常跟同行一起讨论安全问题，而且喜欢跟更加有经验的人聊天。而那些真正更需要具备安全意识的人，更具体来说就是企业和IT行业的普通从业人员，却被隔离在这种谈话之外。另外，在各种安全事件的报告中，安全策略总被一再强调，但是这并不是一个最有效的预防手段。

让企业内部人员知道，70%的企业信息安全事故都是由个人引起的，这是企业安全意识培训课程的目标。但是得到管理层的支持，获取资金以及展开培训所需的资源却并不容易。面对这种情况，我们中的很多人都不知该从何处下手。当然，办法是肯定有的。

前不久我在做另一个课题时，无意间在微软的网站上找到了一个下载资源—安全意识培训资料 。下载研究之后，我很惊讶的发现这是一个企业展开安全意识培训课程非常好的起点。

我是信息安全意识培训的积极鼓动者，曾经写过一篇 关于为什么信息安全意识培训课程如此重要的文章，并为课程教案引入了NIST流程。不过微软的那份培训资料仍然是我发现的针对安全意识培训方面的第一份免费而且相当全面的培训资料。它里面包含了PowerPoint演示稿，poster模板以及其他可以帮助我们的培训课程起步的资料。其中 “getting started” 资源包含了26页白皮书。

在接下来的几篇系列文章中，我都会利用微软的这份资料，配合网络上的其它资料，和我自己在公司里进行安全意识培训方面的经验，进行更进一步的讨论和分析 。 在本系列文章结束时，大家将会拥有在自己企业中开展信息安全意识培训课程所需的全部资源和能力。

在本系列的第一讲中，我将跟大家讨论如何获取领导层对开展培训课程的支持。

获得领导层批准

要想让领导层批准展开信息安全意识培训课程 (ISATP)并不比让领导层批准其它项目难。我们所要做的就是告诉领导层，为什么对员工展开信息安全意识的培训要比那些直接花费人力财力来提高收入或降低成本的优化项目更有价值。换句话说就是提供一个强有力的商业价值分析。

在美国，对于企业的信息安全有很多监管规范，因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。微软在文档中提供了一份很好的监管需求总结，帮助我们选择合适的安全意识培训方案。如图一所示。

图一 安全意识培训所涉及的监管规章

用这种方式肯定会获得管理层的注意。但是你需要注意重点，如果让管理者感觉应该做的不是培训，而是通过其它手段改进安全措施，那么你的计划就泡汤了。另外，不要让管理者有企业信息安全培训等同于配合政府或行业信息安全监管规范的想法。

微软资料里的第二张PPT演示稿显示了当用户犯了安全方面的错误后，会给企业带来什么冲击。如图二所示。可以说微软在安全事故给企业带来冲击方面有深入研究。图片左边所列的攻击威胁都来自于用户对安全性的无知。如果有有效的信息安全意识培训课程（ISATP），这种安全风险将大大降低。

图二  与安全意识淡薄相关的威胁/漏洞

当然，我们也不能忘记企业中的IT员工。除了在图二中列出的普通企业员工因缺乏安全意识而导致的安全事故外，我们还要看看IT人员会涉及到的安全事故。图三显示了信息安全意识培训课程（ISATP）针对企业的信息安全部门应该重点强调的。

图三  与安全意识淡薄相关的威胁/漏洞

仅仅通过技术很难有效的降低以上所列出的全部风险和漏洞发生的几率。当然，一旦发生这些问题，肯定会有技术来进行被动检测和处理，但是一个更有效的方式，也是让IT安全管理者的工作更轻松的方式，就是让企业所有员工都深刻的意识到自己的不良操作习惯会给系统和企业信息安全带来什么样的严重后果。

在提交给领导层的计划书中，还应该加入安全事故所造成的企业成本增加的详细数字，以便更好的获得预算部门的反馈。安全成本范例中应该列明的成本预估包括：

· 技术支持人员、成本

· 每种安全事故类型每年发生的概率。一般来说，这是以企业过去三年来总共发生的安全事故类型进行平均得出的数据。

· 每年每种安全事故造成的损失。这需要根据不同种类安全事故对企业的影响程度进行预估。如果没有现成的数据表，可以找企业的运营部门收集数据并进行分析。每年的安全事故损失计算起来很简单，就是将每个事故的损失成本乘以事故的发生率就可以了。

在本系列的下一讲中，我们会假定我们已经获取了管理层的支持，开始实施信息安全意识培训课程（ISATP）项目。

企业安全培训延伸阅读：

· 良好规划决定企业安全意识培训的成败

· 员工理解与支持是企业安全实现第一步

· 如何选适合员工的安全培训和教授方法

· 企业安全培训:如何向员工传达信息