企业安全培训:如何向员工传达信息

ZDNet安全频道原创翻译 转载请注明作者以及出处

当我们理解了意识和培训成果后，如何实现就成了关键问题。
--------------------------------------------------------------------------------------------

在前几篇文章中，我们讨论了通过 提高员工安全意识 以及 培训课程 让员工知道如何保护企业信息和员工自身行为的安全。我们还讨论了 意识和培训的关系，以及如何定义信息安全意识培训课程（ISATP）的成果。 在本次安全意识培训系列的最后一篇文章中，我们将要讨论如何建立课程规划，实施以及后续的培训加强活动。最后，我们会讨论评估方式，确保我们的课程达到了预期目标。

建立教案

教案是实现预期安全意识和培训结果的工具。他可以帮助我们确保对目标受众提供了正确的培训资料，就算培训材料是通过公司内网交付，而没有讲师监督，也可以。在撰写教案前，我们还需要了解一些与培训课程相关的因素，它们包括：

· 培训课程的可用时间。 对企业管理者来说，时间就是金钱，他们不愿意见到因为花时间去接受培训而丢掉客户的情景。另外，对于大多数人来说，如果一次性接受大量信息，会感到很疲惫并且无法吸收。因此我们最好将培训资料按课程安排分成小段，比如按一小时的授课内容分割资料。而每次的授课时间都要按照这种方式进行限制，不能太长。

· 所需资料列表。 除了给员工提供课程所需的参考资料和演讲稿外，我们还应该考虑印制一些练习材料，通过练习题的方式加强员工的培训效果。需要注意的是，有时候练习材料不仅限于习题，还可以是实际操作的设备。

· 目标列表。 在ISATP 项目流程初期，我们就为培训设立了目标，而随着培训课程的展开，目标将逐步实现。因此我们可以将总体目标细化，为每一节培训课程设立目标。每节课的目标不宜过大，但是要随着课程的进度不断提高，而课程内容也要以目标为纲领，逐步达成培训的最终目标。

· 评估。 正如我们前几篇文章介绍的，对员工的培训效果进行评估，是确保我们采用正确方式对员工进行有效培训的一个重要方法。
如果我们从来没有写教案，或者想多练习一下，可以参考The Educator’s Reference Desk 中的操作指导 ，其中有很多教案范例。另外，在NIST SP 800-1里包含了一个专门针对安全课程的教案，感兴趣的读者也可以阅读一下。

授课资料

虽然员工经常会把意识培训课程当作一时之事，但我们要将其作为一个有关安全意识的长期战役，一个可以帮助建立和保持安全工作热情的战役。记住，ISATP课程的最终目标是改变员工的不良工作习惯。只有通过持续的增强意识和技术支持，才能让这个目标得以实现。

而这场战役的内容应该紧紧围绕教案中设定的目标。我们可以发挥自己的想象，让授课方式更加生动有趣。除了讲师的发挥，我们还可以通过海报，小道具或者其它方式将员工的注意力保持在信息安全方面。微软在Security Awareness Program Material中提供了不错的授课模板。另外美国银行联合会的网站上也提供了 一些非常好的免费资源 可以在授课时使用，其中包括了一些用来持续加深印象的教学资料。

持续培训的材料

在初次战役后，我们所要传达的信息不应该就这样消失了，而是要通过后续努力来让员工在包含信息资产安全方面达到我们的预期水平。在这一阶段所使用的资源和材料一般会比授课时使用的资源和材料更多。我们可以采取以下一种或几种方式：

· 海报

· 新员工培训

· 每年定期的培训考核课程

· 新闻邮件

· 每月或每季度的电子邮件信息传达

评估项目成效

结果评估对任何项目来说都是非常重要的，在我们的培训项目中也是一样。如果在培训项目早期对项目目标有完善的定义，那么对项目成效的评估会很容易。下面列出的一些检查员工行为习惯是否改变的方式，可以在项目成效评估中提供有价值的参考信息：

· 检查安全事故发生率变化：对安全事故进行跟踪早就应该是我们每日的工作内容。比如我们可以统计在培训后，人为引起的安全事故的发生数量是否有所下降。

· 通过审核检查是否改进： 内部审计或者安全团队对关键控制因素的测试结果可以很好的判断出企业的信息安全性是否在向好的方面发展。这是判断技术员工是否按照课程所教授的内容进行系统配置的最佳方式之一。

· 管理层问卷. 确保完成培训目标的一个有效方式就是直接提问。提问内容很简单，只需要询问管理层是否相信预期目标已经达到。如果没有，那么是为什么。通过负面回答我们可以获知培训项目中存在哪些可以改进的方面。

总结

信息安全意识培训课程是有效的安全培训课程的基础。让领导层知道80%的人为安全事故都是由于不良的工作习惯引起的，这将帮助我们获得领导层对于开展培训课程的支持。

在设计培训方案前，应该先评估课程的受众以及预期目标。受众包括管理层和非管理层员工。这些信息将决定谁来进行培训，培训的方式以及教案内容。

培训的效果必须通过后续不断的意识灌输来保持。遗忘的问题会导致培训效果大打折扣，最终随着时间慢慢消失。

最后，别忘了评估培训结果。和所有项目一样，良好的评估机制可以让我们更好的了解所制定的ISATP课程中存在哪些问题。另外，评估信息的收集和评估工作可以让我们更好的维持员工对于信息资产安全的认识等级。