员工理解与支持是企业安全实现第一步

ZDNet安全频道原创翻译 转载请注明作者以及出处

从信息安全意识培训课程 (ISATP)这个名称中我们可以看出，“安全意识”和“培训”是两个关键词。这一培训课程适用于很多企业，尤其是那些预算并不充足的企业。正规的方法把意识和训练当作两种不同的活动。
--------------------------------------------------------------------------------------------

从信息安全意识培训课程 (ISATP)这个名称中我们可以看出，“安全意识”和“培训”是两个关键词。事实上，这两个词是我前两讲内容的核心纲领，涉及到如何从较高的层次改变员工的工作习惯。这种高级方法适用于大多数企业，尤其是那些预算经费并不充裕的企业。不过，从方法论的角度来讲，意识和培训在改变员工工作习惯的活动上属于两种不同的方法。

在本文中，我们会继续通过为用户准备更有针对性的训练的方式，在企业中将安全行为制度化。

意识 vs. 培训

在实施信息安全意识培训课程 (ISATP)项目的流程中，现在就进入到how-to 以及策略培训的阶段确实会让我们兴奋。但是在这之前，我们首先让课程的受众做好准备。具体来讲，就是要让企业中的每个人都明白为什么安全是如此重要。同时他们必须意识到自己有责任管理信息资产的安全。最后，每个员工还应该知道一旦安全措施（策略，标准，以及安全方针等）遭到破坏，会给企业和个人带来什么样的影响。

一旦我们成功的让员工接受了这些内容，就可以让他们离开正在进行的日常工作，走进培训课堂，从头到尾认真听完我们所讲述的安全意识培训课程内容。效果更好的情况是，企业员工会很高兴并且很自觉地主动要求接收培训，学习信息安全知识。

提升员工的意识

建立员工安全意识的第一步应该从员工进入公司的时刻开始。我们应该确保将这一培训内容加入信息安全意识培训课程 (ISATP)中。在进入公司的第一天，员工就应该了解哪些是安全的工作行为，哪些是不安全的行为。具体的实施方法，可以通过要求每个员工坐下来观看安全意识培训PPT幻灯片，以及阅读和签署安信息全保密协议或密码协议等方式来实现。为了这个目的，微软给大家提供了一个免费的 PowerPoint 幻灯片 ， 幻灯片虽然不是很多，但是全面讲解了为何安全性对企业如此重要。

在上次的文章中，我根据目标受众在企业内的职责将其分为三类，分别是管理层，IT员工，以及普通员工。对于培训来说，这种方式是很必要的，但是本文所讲述的安全意识信息的传达，是适用于企业内全部人员的，与他们的职务无关。对于现在刚开始实施ISATP的公司来说，应该确保全部在职员工也接收类似的教育并签署相关保密协议。

传达方式

传达安全意识培训的信息，从理论上讲可以有三种方式：基于Web传达，离线传达，以及讲师传达。基于Web的传达方式非常适合那些分布松散的企业，可以让位于不同地理位置的员工都获得所传达的信息。诸如 Articulate这样的万能工具可以让我们将PPT文档转换成其他格式，并加入声音。同时它还可以加入提问内容并跟踪用户的答案。大家可以在我的网站上找到 用Articulate创建安全培训实例 一文，其中对此有详细介绍。将提升安全意识相关的信息放在公司的内网中，并加入用户回答问题的跟踪功能，可以很好的确保信息被每个用户阅读并，并且能够跟踪到用户的阅读成果。

离线的传达方式对于那些登陆企业内网不方便的企业员工来说比较合适。当然，如果使用了前面提到的万能工具，就不用再专门制作用于线下交付的培训资料包了。比如我网站上的资料可以在线阅读，也可以下载到本地电脑离线阅读。另外，我也可以将它刻录到光盘中分发给企业员工。

在最初阶段，由讲师传达安全意识信息内容并不是非常常见和必须的。因为所传达的内容都相当的概括，理解起来不会有什么问题，适合任何员工阅读。一般在培训教室中对课程内容进行深入讲解和培训的时候，才需要讲师的讲解。

除了交付方式之外，确保每个员工都有效的参与到初级安全意识告知的过程中也很重要。如果仅仅是将资料发放到员工手中，而不去跟踪员工的学习效果，不去确保员工真正理解了安全的重要性，以及他们的行为会对企业系统带来什么样的后果，就好像出门旅行但是不锁家门一样。

评估

对员工的任何培训措施都必须进行效果评估。在本系列的下一篇文章中，我会和大家讨论培训活动后的正规评估方法。在这里，我们先看看针对参与培训课程的学员的评估表格。

为了让用户更关注培训，我们需要事先确定好宣传的内容，而这并不容易。在上一篇文章中，我们介绍了课程规划阶段该选择什么样的课程内容，需要哪些人来参与课程内容的制定。但是我们都知道，对于没有做过的事情，第一次做的时候可能很难一次成功。 另外，可能我们的学员，会对课程内容提出质疑，要求增加或减少某些培训内容。传达方式也许也要修改。

使用评估表格是获取参与课程学员的反馈的最佳方式，它可以帮助我们更有效的达到实施信息安全意识培训课程的目标。美国科学和技术研究院（NIST）的文档 特刊800-16,信息技术培训需求：基于角色和效果的模型中包含了一份非常好的调查问卷 (Exhibit 5-2, p. 165)。

总结

直接进入主题式的培训，往往不是改变员工日常工作行为习惯的最佳培训方式。员工必须首先理解为什么保护企业的信息资产是如此重要，以及为什么每个员工都应该对此加以重视。加强安全意识的努力，从员工进入公司的第一天就要开始，并且还要依靠政府监管规范的加强。这些都可以让员工更好的进入培训的下一步。

通过跟踪演示稿后的问卷回答状况，我们可以更好的修正所提供的培训内容，这也是从最初就让员工参与的另一个好处。