如何选适合员工的安全培训和教授方法

ZDNet安全频道原创翻译 转载请注明作者以及出处

当企业员工都知道安全的重要性，同时管理层也支持了安全方面的项目，我们的培训课程就可以开始了。在本文中，我们将继续讨论展开培训课程所需要做的媒体开发。
-------------------------------------------------------------------------------------------

当企业员工都知道安全的重要性，同时管理层也支持了安全方面的项目，我们的培训课程就可以开始了。在本文中，我们进入展开信息安全意识培训系列的第三步，即开展安全培训课程所需的媒体准备。

培训 vs. 意识

在上一篇文章中，我解释了提高员工意识和相关培训活动间的区别。简单的讲，为了培养员工安全意识所进行的活动是确保员工能进一步学习整个培训课程的前提。我们所说的意识，是指理解信息安全的重要性，这会让员工更接受接下来即将进行的培训课程，并能更好的改正原先存在安全漏洞的工作习惯。

确保任何职位或者处理任何数据的员工都能接收关于企业安全策略，标准以及指导方针的培训，是信息安全培训所关注的重点。但是并不是所有员工都有必要详细了解公司的整个安全项目。而且实际上管理层也希望员工只需要了解与员工自身职务有关的相关安全内容。

提高员工意识和相关培训活动的另一个重要的不同点在于交付方式的不同。在先期提高员工安全意识的活动中，不需要讲师而只需要企业内部网络就可以很轻易的达成目标，而后期的培训则需要专用的培训教室和授课时间，来确保有效传达更复杂的安全理念。?
接下来我们看看我们详细了解一下基于角色的培训以及相关的交付方式。

基于角色的培训

对于任何企业来说，基本都有三类培训目标：技术工人，管理层，以及普通业务人员。对于每类培训目标来说，信息安全的重要性以及所需要掌握的技术细节内容都是不同的。另外，这些不同的人员对于安全的理解也是有所不同的。

比如，技术员工可能更需要关注网络设计，确保安全的数据包交付以及数据存储，而普通业务用户应该关注于如何在终端设备上安全的处理信息数据，包括对于智能手机，MP3播放器以及USB硬盘等的使用规范。

这三类人群还可以根据特定的培训需求进一步细分。比如，开发人员需要熟悉诸如 OWASP Top 10 这样的规范纲领，而安全分析员和业务分析人员必须掌握如何维持信息资产安全和可接受的运营效率二者间的平衡关系。

如果不以这种方式来看待培训，我们很可能无法将不同类型的培训目标进行细分。进行目标分类的一个方法是使用NIST SP 800-50 附录 A中的调查问卷。在企业的每个部门中选取一两个员工完成问卷调查，可以让我们更好的获取培训需求信息，这些信息包括：

· 数据存取

· 如何存取

· 技术专家的需求等级

培训课程的设计人员还可以通过这份问卷了解到如何更好的进行培训，以及了解员工对自己的需求等级。图一是问卷调查中的一部分。

图一

选择课题和交付方式

虽然问卷调查确实能帮助我们确定很多培训的课题，我们仍然需要在任何信息安全意识培训课程中加入一些特定内容。这些内容包括：

· 监管问题。政府为确保信息安全推出的监管内容非常多，而且会越来越多。常见的监管规范包括HIPAA, SOX, PCI DSS, GLB, 和新的 “Red Flag” 规章。对员工的培训是企业完成监管规定的一个重要部分。

· 法律环境。除了监管问题外，还有法律问题。即一旦企业出现数据泄露或者其它安全事故后，法庭和陪审团会如何评判。

· 企业配置。企业的网络是如何搭建的，以及培训内容会如何影响员工对数据的方式和使用方式。

>>员工使用移动设备的问题（如远程接入策略，手持设备上的数据处理和存储策略等。)

>>在办公室，上下班路上以及家中，如何安全的使用无线技术

>>使用USB存储设备

· 数据处理和加密需求。企业环境内的全部数据均需要分类。分类可以让数据在传输，存储以及处理过程中获得更好的控制效果。员工应该知道企业的数据分类方法，并且能够将按照这一分类方式将不同的数据进行分类存放。另外，员工还应该知道哪些数据需要加密，以及何时对其进行加密。有关加密数据的更多信息，可以参考《数据存储安全》 。

授课内容的选择会影响到授课方式。比如，在讲述与 HIPAA规范一致性相关的系统设计和实施内容时，需要讲师在培训教室授课。而讲述有关 USB存储设备使用规范的时候，则只需要通过企业内部网络分发培训内容，由员工自行学习即可。另外，前面我们也提到过，员工在完成问卷调查的过程中，也会提出他们所希望学习的课程内容。这也是我们合理规划课程内容的一个不错的信息途径。

总结

培训课程的其它方面和最初的员工意识培养很相似。比如对员工如何评价培训课程价值的评估与早期意识培训接受度的评估，都是评估整个培训项目成效的重要因素。在之前的文章《员工的理解和支持是企业信息安全的第一步》中对此有详细讨论。

培训是解决企业信息安全中最大的风险来源—无知员工—给企业带来安全风险的最佳方式。在下一篇文章，也就是本系列的最后一篇文章中，我们将继续讨论培训方式和持续的安全意识培养。