Question

一个行之有效的培训体系，首先需要安排好培训的双方，一方面是培训的接收方（即培训对象），要清晰地了解不同培训对象的诉求并明确培训主题和培训重点；另一方面是培训的授予方（即培训老师），要针对不同的培训对象和培训主题合理地安排培训老师，方能起到良好的效果。

1.培训对象及核心诉求

金融企业的高管、中层管理者、业务部门工作人员、信息科技人员、行政综合人员等，这些不同工作岗位的人员，由于工作职责、岗位能力要求有差异，接触的信息重要性和面临的风险状况不同，需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案，将有效地降低工作中蕴含的风险隐患。

（1）金融企业高管

金融企业高管应该首当其冲地成为信息安全培训受众。原因主要有两方面：一是金融企业高管接触的信息面广、层次高、敏感信息多，而由于工作忙碌往往容易造成对信息保密的疏忽，因此常常成为“性价比最高”的重点攻击对象；二是金融企业高管接受信息安全意识培训，可以对全员信息安全意识提升起到表率作用，带动全员重视信息安全、尊重信息安全的氛围。

金融企业高管的信息安全培训，重点应该放在信息安全战略和信息安全意识宣导方面，应该帮助高管了解金融企业信息安全战略方向、信息安全相关法律法规、主要的信息科技监管要求和监管趋势、金融科技时代下信息安全新形势和管理新特点、信息安全组织架构、金融企业信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等，为金融企业内部推行各类信息安全和风险控制措施奠定基础。

（2）中层管理者

金融企业的中层管理人员，是“承上启下”地执行战略和政策的中坚力量，如果对信息安全理解到位，既可以很好地贯彻执行企业的信息安全战略，也可以带动基层员工们主动落实信息安全防护措施，监督措施执行到位。

中层管理人员的信息安全培训，应侧重于信息安全基本概念、信息安全相关法律法规、信息科技监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面，使他们理解什么是信息安全，为什么要重视信息安全，本人管辖领域内哪些工作会涉及信息安全，以及怎样做好信息安全风险防控。

（3）所有部门基层员工

基层员工是直接从事信息采集、传输、使用的人员，是信息安全政策和具体措施的执行者。由于基层员工数量众多、接触的具体信息丰富，很容易被打开突破口，成为最容易泄密的群体。

基层员工的信息安全培训，应侧重于银行信息安全相关的制度和流程的具体内容、与信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面，目的是帮助基层员工树立信息安全保护的理念，提高合规操作和风险防范的意识，掌握具体的信息安全风险防控技能，降低因员工工作疏忽、操作不规范或有意泄露而造成的威胁。

（4）信息科技员工

信息科技部门的员工，是信息安全政策落地的核心力量，更是信息安全管理和技术措施的直接执行者和捍卫者。这个团队的信息安全水平，在很大程度上影响了金融企业的信息安全整体水平。

信息科技部门各个不同团队的信息安全培训，有不同的侧重点：

·对于开发测试人员，应侧重于企业信息安全政策和制度、监管和行业组织发布的应用安全相关技术规范、密码技术和应用、需求分析安全要求、设计安全要求、编码安全要求、安全测试要求，代码审计相关知识，以及系统和应用安全常见漏洞的原理、现象、漏洞扫描等发现方法、扫描结果评估方法和安全防范措施等。

·对于运维人员，应侧重于企业信息安全政策和制度、监管和行业组织的信息系统运维相关技术规范、机房安全、网络安全、主机及系统安全、终端安全、信息安全技术工具、故障应急、业务连续性等。

·对于信息安全岗员工，是信息安全培训体系的制订者和维护者，一方面应该掌握设计信息安全培训体系的方法，另一方面应接受有关监管趋势及要求、风险评估、安全检查知识和技能、信息安全技术工具的策略和操作技能等方面的培训。

（5）外包人员

金融企业存在大量的外包工作，出于成本节约和人员编制的考虑，一方面，业务部门需要将后台集中作业流程、借记卡和信用卡申请资料录入、催收和外呼等附加值较低的工作外包给成本较低的专业团队执行；另一方面，科技部门有大量的开发任务需要外包给科技公司完成，个别金融企业还会将部分运维工作外包。外包人员可能接触到金融企业的客户信息、系统开发和设计文档等大量的敏感信息，需要接受信息安全培训。

外包人员的信息安全培训，应侧重于金融企业外包制度和流程的具体内容、金融企业信息的分类和信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面，使外包人员树立信息安全保护意识，了解信息安全行为失当导致的严重后果，提高日常工作的合规性，产生对信息安全的“敬畏之心”。

（6）外部用户

大量的事实表明，很多的风险案例是由于客户对个人客户信息（例如用户名和密码等敏感信息）保管不当、误安装病毒木马软件、误点击钓鱼邮件等原因造成的。因此，加强对客户及其他外部用户的信息安全意识教育和宣传培训，显得极其重要。

外部用户的信息安全培训，应侧重于具体的案例说明、主要的诈骗手段拆解、简明扼要的信息安全宣传标语等，甚至可以通过短视频、安全段子等生动活泼、通俗易懂的方式，让客户对信息安全保护相关内容印象深刻，引以为鉴。

综上所述：

·一个信息安全意识强的金融企业高管，可以带来更好的对内信息安全政策，对外更谨慎的信息披露。

·一个信息安全意识强的中层管理者，可以承上启下地做好信息安全防控措施的落地执行。

·一个信息安全意识强的业务人员，可以更好地保护客户信息，需求中的业务风险控制要求会提得更为充分。

·一个信息安全意识强的开发人员，可以有意识地对应用系统设计开发更合理的安全控制措施，减少应用漏洞发生。

·一个信息安全意识强的外包人员，会在数据处理或系统开发时自觉遵守金融企业的安全要求，不越权操作或泄漏敏感信息。

·一个信息安全意识强的金融企业客户，会在面临电信诈骗或钓鱼攻击时保持清醒，避免上当和蒙受损失。

信息安全培训对于金融企业各级员工、外包人员、外部客户的帮助是显而易见的，需要当作一个整体的培训体系来设计和实施。

2.培训师资

针对不同的培训对象，培训师资的选择也应该有所区别。总体来说，有以下几种培训师资可供选择。

（1）内部信息安全人员企业内训

针对基层员工和外包人员，由企业内部的信息安全人员开展内训是较好的选择，因为信息安全人员对于本企业内部的信息安全情况了解最为深入，非常清楚应该保护的信息主要有哪些，对规章制度、主要风险心中有数，可以结合日常信息安全检查工作中发现的具体风险事件案例，剖析产生风险的原因、应对措施等，并针对操作性要求进行详细的分析和讲解，做到有的放矢。

（2）外聘讲师开展企业内训

针对企业高管、中层管理者，基于“外来和尚好念经”的原则，以及对监管趋势、同业案例更为了解的要求，外聘讲师入行培训是一个更优的选择。

在讲师的选择方面，要特别注意讲师的实际信息安全工作经验。纯理论的讲解难以深入人心，必须理论联系实际，因此最好选择曾经制定过金融行业信息安全标准、在金融企业做过咨询等工作背景的讲师，才能准确把控监管机构对金融企业和管理者的要求，以及准确选取同业曾经有过“切肤之痛”且跟企业现状最为匹配的案例。

（3）外出参与团体培训

针对信息科技部门的开发、运维和信息安全人员，适当外出参加团体性的专业类培训不无益处：一方面，可以开拓眼界，提升自身专业水平，有利于回来转训；另一方面，可以创造机会与同业交流，扩展自己的知识面和人脉资源。

要保证培训效果，培训机构的选择至关重要。由于金融行业信息安全管控标准普遍高于其他行业，因此建议选择专门面向金融类从业人员的培训机构，更为了解金融行业的特点、信息安全工作的重点以及信息科技相关监管要求等，行业内的交流也可以更加深入。

（4）聘请专业组织优化培训材料

针对金融企业的广大客户，只能通过金融企业的分支机构、电子渠道等方式触达客户，因此需要在金融企业内部人员设计的培训内容及案例的基础上，寻求一些专业的培训设计公司，对培训的形式、内容进行一定的优化，提高可读性和趣味性，确保客户能够理解培训内容，从而提高客户信息安全意识。