返回介绍

6.2 信息安全培训关联方

发布于 2024-10-11 22:28:28 字数 3840 浏览 0 评论 0 收藏 0

一个行之有效的培训体系,首先需要安排好培训的双方,一方面是培训的接收方(即培训对象),要清晰地了解不同培训对象的诉求并明确培训主题和培训重点;另一方面是培训的授予方(即培训老师),要针对不同的培训对象和培训主题合理地安排培训老师,方能起到良好的效果。

1.培训对象及核心诉求

金融企业的高管、中层管理者、业务部门工作人员、信息科技人员、行政综合人员等,这些不同工作岗位的人员,由于工作职责、岗位能力要求有差异,接触的信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案,将有效地降低工作中蕴含的风险隐患。

(1)金融企业高管

金融企业高管应该首当其冲地成为信息安全培训受众。原因主要有两方面:一是金融企业高管接触的信息面广、层次高、敏感信息多,而由于工作忙碌往往容易造成对信息保密的疏忽,因此常常成为“性价比最高”的重点攻击对象;二是金融企业高管接受信息安全意识培训,可以对全员信息安全意识提升起到表率作用,带动全员重视信息安全、尊重信息安全的氛围。

金融企业高管的信息安全培训,重点应该放在信息安全战略和信息安全意识宣导方面,应该帮助高管了解金融企业信息安全战略方向、信息安全相关法律法规、主要的信息科技监管要求和监管趋势、金融科技时代下信息安全新形势和管理新特点、信息安全组织架构、金融企业信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等,为金融企业内部推行各类信息安全和风险控制措施奠定基础。

(2)中层管理者

金融企业的中层管理人员,是“承上启下”地执行战略和政策的中坚力量,如果对信息安全理解到位,既可以很好地贯彻执行企业的信息安全战略,也可以带动基层员工们主动落实信息安全防护措施,监督措施执行到位。

中层管理人员的信息安全培训,应侧重于信息安全基本概念、信息安全相关法律法规、信息科技监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面,使他们理解什么是信息安全,为什么要重视信息安全,本人管辖领域内哪些工作会涉及信息安全,以及怎样做好信息安全风险防控。

(3)所有部门基层员工

基层员工是直接从事信息采集、传输、使用的人员,是信息安全政策和具体措施的执行者。由于基层员工数量众多、接触的具体信息丰富,很容易被打开突破口,成为最容易泄密的群体。

基层员工的信息安全培训,应侧重于银行信息安全相关的制度和流程的具体内容、与信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面,目的是帮助基层员工树立信息安全保护的理念,提高合规操作和风险防范的意识,掌握具体的信息安全风险防控技能,降低因员工工作疏忽、操作不规范或有意泄露而造成的威胁。

(4)信息科技员工

信息科技部门的员工,是信息安全政策落地的核心力量,更是信息安全管理和技术措施的直接执行者和捍卫者。这个团队的信息安全水平,在很大程度上影响了金融企业的信息安全整体水平。

信息科技部门各个不同团队的信息安全培训,有不同的侧重点:

·对于开发测试人员,应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求,代码审计相关知识,以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等。

·对于运维人员,应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等。

·对于信息安全岗员工,是信息安全培训体系的制订者和维护者,一方面应该掌握设计信息安全培训体系的方法,另一方面应接受有关监管趋势及要求、风险评估、安全检查知识和技能、信息安全技术工具的策略和操作技能等方面的培训。

(5)外包人员

金融企业存在大量的外包工作,出于成本节约和人员编制的考虑,一方面,业务部门需要将后台集中作业流程、借记卡和信用卡申请资料录入、催收和外呼等附加值较低的工作外包给成本较低的专业团队执行;另一方面,科技部门有大量的开发任务需要外包给科技公司完成,个别金融企业还会将部分运维工作外包。外包人员可能接触到金融企业的客户信息、系统开发和设计文档等大量的敏感信息,需要接受信息安全培训。

外包人员的信息安全培训,应侧重于金融企业外包制度和流程的具体内容、金融企业信息的分类和信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面,使外包人员树立信息安全保护意识,了解信息安全行为失当导致的严重后果,提高日常工作的合规性,产生对信息安全的“敬畏之心”。

(6)外部用户

大量的事实表明,很多的风险案例是由于客户对个人客户信息(例如用户名和密码等敏感信息)保管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。因此,加强对客户及其他外部用户的信息安全意识教育和宣传培训,显得极其重要。

外部用户的信息安全培训,应侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等,甚至可以通过短视频、安全段子等生动活泼、通俗易懂的方式,让客户对信息安全保护相关内容印象深刻,引以为鉴。

综上所述:

·一个信息安全意识强的金融企业高管,可以带来更好的对内信息安全政策,对外更谨慎的信息披露。

·一个信息安全意识强的中层管理者,可以承上启下地做好信息安全防控措施的落地执行。

·一个信息安全意识强的业务人员,可以更好地保护客户信息,需求中的业务风险控制要求会提得更为充分。

·一个信息安全意识强的开发人员,可以有意识地对应用系统设计开发更合理的安全控制措施,减少应用漏洞发生。

·一个信息安全意识强的外包人员,会在数据处理或系统开发时自觉遵守金融企业的安全要求,不越权操作或泄漏敏感信息。

·一个信息安全意识强的金融企业客户,会在面临电信诈骗或钓鱼攻击时保持清醒,避免上当和蒙受损失。

信息安全培训对于金融企业各级员工、外包人员、外部客户的帮助是显而易见的,需要当作一个整体的培训体系来设计和实施。

2.培训师资

针对不同的培训对象,培训师资的选择也应该有所区别。总体来说,有以下几种培训师资可供选择。

(1)内部信息安全人员企业内训

针对基层员工和外包人员,由企业内部的信息安全人员开展内训是较好的选择,因为信息安全人员对于本企业内部的信息安全情况了解最为深入,非常清楚应该保护的信息主要有哪些,对规章制度、主要风险心中有数,可以结合日常信息安全检查工作中发现的具体风险事件案例,剖析产生风险的原因、应对措施等,并针对操作性要求进行详细的分析和讲解,做到有的放矢。

(2)外聘讲师开展企业内训

针对企业高管、中层管理者,基于“外来和尚好念经”的原则,以及对监管趋势、同业案例更为了解的要求,外聘讲师入行培训是一个更优的选择。

在讲师的选择方面,要特别注意讲师的实际信息安全工作经验。纯理论的讲解难以深入人心,必须理论联系实际,因此最好选择曾经制定过金融行业信息安全标准、在金融企业做过咨询等工作背景的讲师,才能准确把控监管机构对金融企业和管理者的要求,以及准确选取同业曾经有过“切肤之痛”且跟企业现状最为匹配的案例。

(3)外出参与团体培训

针对信息科技部门的开发、运维和信息安全人员,适当外出参加团体性的专业类培训不无益处:一方面,可以开拓眼界,提升自身专业水平,有利于回来转训;另一方面,可以创造机会与同业交流,扩展自己的知识面和人脉资源。

要保证培训效果,培训机构的选择至关重要。由于金融行业信息安全管控标准普遍高于其他行业,因此建议选择专门面向金融类从业人员的培训机构,更为了解金融行业的特点、信息安全工作的重点以及信息科技相关监管要求等,行业内的交流也可以更加深入。

(4)聘请专业组织优化培训材料

针对金融企业的广大客户,只能通过金融企业的分支机构、电子渠道等方式触达客户,因此需要在金融企业内部人员设计的培训内容及案例的基础上,寻求一些专业的培训设计公司,对培训的形式、内容进行一定的优化,提高可读性和趣味性,确保客户能够理解培训内容,从而提高客户信息安全意识。

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文