Question

信息安全培训对象、师资力量确定后，就可以针对不同的培训对象，定制差异化的培训内容，利用不同的培训形式，选择适当的时机开展培训。

1.培训内容

金融企业信息安全培训的内容可以分为专业知识、实用技能、安全意识三大类。考虑到第 5 章已经详细地阐述了信息安全专业人士应该掌握的知识和技能，本节重点针对非信息安全专业人士的培训内容进行分析。

（1）专业知识

对于非信息安全专业人士来说，需要掌握的信息安全知识主要包括：

·法律法规关于信息安全管理的要求。

·主要的与信息安全相关的监管要求和行业标准。

·信息安全管理体系的基本概念和管理要点。

·信息安全规章制度和流程中的重点要求。

·信息安全的基本定义（CIA 三性）、主要内涵、关键风险及对策等。

·信息的分级分类和每个级别对应的安全管控措施

。

（2）实用技能

对于非信息安全专业人士来说，需要掌握的信息安全实用技能主要包括：

·对于业务人员，需要防钓鱼、防信息泄漏、邮件安全、密码安全、文档保密等基本的防护技能。

·对于信息科技开发人员，需要安全开发的概念和主要要求。

·对于信息科技运维人员，需要安全运维的概念和主要要求。

·对于所有人员，需要信息安全应急管理与业务连续性管理实践技能。

（3）安全意识

与安全意识相关的主要内容包括：

·同业主要信息安全风险事件案例的现象、原因分析和应对措施分析。

·金融机构最为常见的客户信息泄露、密码泄露、病毒木马、电信诈骗等手段及对应的防范措施。

2.培训需求分析

培训需求分析的目的是，针对培训对象挑选出适当的培训内容，确保培训的效果能够满足企业对员工信息安全意识水平的要求。培训需求分析是培训的首要和重要环节，如果需求分析做得不到位，可能导致南辕北辙。

信息安全培训内容包罗万象，不是越全越好，也不是内容越专业越好，所谓“适合的就是最好的”，所以必须根据培训对象的需求、知识结构、技能状况、当前信息安全意识水平等因素做出合适的选择，因材施教，方可达到最好的效果。确定培训需求的方式主要有：

·访谈。一方面，可以通过与管理层访谈，获取对培训对象的期望；另一方面，与培训对象的代表访谈，了解其关于信息安全领域的“痛点”和期望达到的效果。访谈可以设置一些封闭性的和开放性的问题来开展。

·培训需求调查问卷。以问卷形式列出一组问题，可以包括封闭性问题和开放性问题，要求调查对象就问题进行打分、做选择或者给出描述性回答，调查问卷可以全员参与。

·员工安全意识水平测试。通过一些简单的测试题，或者专业培训机构提供的测试软件，获知培训对象的信息安全意识水平、主要短板等，从而有针对性地设计培训内容。

培训需求分析结束后，就需要结合当年的培训预算，确定具体的培训内容、培训方式和培训计划。

3.培训形式

金融企业既可以采用现场培训、交流会议、知识竞赛等方式面对面开展培训，也可以采用 Elearning 电子学习平台、安全意识动画、电子期刊、宣传海报、桌面温馨提示等多种生动、直观、鲜活的宣传培训方法，寓教于乐，提升培训效果。还可以采用安全竞赛的方式，提高员工主动参与的积极性。

（1）现场培训

现场培训是最常见的一种集中开展的培训形式，优点是大家精力比较集中，交流较为充分，在主题的选择上可以更为聚焦，讲解上可以更为深入。以下是两种常见的现场培训方式：

·专题培训。选择几个最重要的信息安全主题，在深度上下功夫，把信息安全知识讲到位、讲透彻。针对高管层、管理者等对信息安全知识涉及面很广的培训，以及针对开发安全、运维安全等比较有深度的培训，都适合采用这种方式。

·交流会议。选择一些实践经验比较丰富的机构，现场做案例讲解，也可以针对金融机构内部的常见问题，由信息安全团队进行综合分析后讲解。对于金融企业内部涉及多个分支机构、多个部门，面临的信息安全环境和防护措施具备一定相似性的培训场景，适合采用这种方式。

（2）Elearning 在线培训

Elearning 在线培训（如图 6-1 所示），由于 3A（Anytime，Anywhere，Anyway，任何时间、任何地点、多种方式）的特性，因此最适合针对全员的培训。

图 6-1　Elearning 培训示意

与现场培训不同，Elearning 在线培训更适合普及性的、内容相对简短的培训，推荐的方式是选择一些重要的知识点，用案例的方式生动活泼地表现出来，其中再穿插讲解风险要点、规避措施和管理要求。例如，可以选择办公安全、客户信息保护、邮件安全、密码安全、文档保密等与所有员工都密切相关的主题，开展信息安全意识动漫制作及宣传教育，使员工们时刻牢记“安全无小事”，将日常信息安全行为规范转化为个人习惯，并长期持续地坚持下去。

（3）开办内外部信息安全专栏

信息安全专栏可以向内外部客户提供专业化、有深度的信息安全服务，引起内部员工和外部客户对信息安全的重视，主动学习各种技巧以防范可能随时面临的风险。主要形式有：

·内部专栏。在内部门户系统或办公自动化系统中开设信息安全专栏（如图 6-2 所示），随时发布与信息安全相关的内容，例如，主要的信息安全法律法规要点，国家层面关于网络安全防范的重要战略和指示精神，监管新动向，新发生的信息安全事件及防范措施等，提供一个方便的渠道以便员工学习和了解。为了拓展专栏的内容，可以举办征文大赛或者设立特约撰稿人，以保证来稿的数量和质量。

·外部专栏。在金融企业的微信公众号上，发布与信息安全意识相关的文章、图片、视频等，重点是向客户宣贯一些与信息安全相关的小案例、风险防范小技巧等。特别是可以结合一些热点新闻（如电信诈骗事件、网络钓鱼事件、客户信息泄露事件导致资金损失等），深度挖掘并向客户详解事件发生情况，提供图文并茂的实用防范技巧。所有外部专栏的内容，均可以通过微信群转发内部员工分享。

图 6-2　某公司信息安全专栏课程

（4）以赛代训

以赛代训的优点是避免枯燥的、教条主义的灌输和说教，通过竞赛的方式，提高培训对象的参与度，调动培训对象的热情，从而加深印象。可以考虑的竞赛方式包括：

·合规知识竞赛。针对信息安全知识和技能要求，设计一些形式活泼的考题，例如，判断题、单选题、多选题、案例题等，通过分组比赛的方式，安排必答题和抢答题等形式，强化员工们对信息安全工作要求的理解，激发员工对信息安全知识和技能的学习热情，进而提高全体员工的信息安全风险及合规意识，营造良好的信息安全风险管控和合规工作气氛。

·信息安全创意作品大赛。通过不限形式的作品征集，鼓励全员参与竞赛，采用征文、摄影、视频、诗歌、宣传画报、漫画等各种各样的创意形式，表达信息安全意识宣传的主题，从而调动全体员工主动思考如何开展信息安全风险防范，并用通俗易懂的形式表达出来，往往能产生“高手在民间”的意外惊喜。最后的奖项设定也可以采用全民投票+专家评定的方式得出，促使全员认真研读参赛作品，无形中接受了信息安全意识培训，潜移默化地提升了信息安全意识水平。

·微信游戏比赛。通过在微信中设置一些信息安全小游戏，例如，答题闯关、有奖查漏、双人 PK 等方式，使大家在“玩中学、乐中学”，营造大家对信息安全的参与感。

·CTF 攻防大赛。这是针对信息安全专业人员的一种竞赛方式（如图 6-3 所示）。CTF（Capture The Flag），直译为“夺旗比赛”，源于 1996 年举办的 DEF CON 全球黑客大会，该比赛是目前全球最高技术水平和影响力的 CTF 竞赛，类似于 CTF 赛场中的“世界杯”。随着金融企业安全攻防技术的发展，比较有技术实力和前瞻性的金融机构已经开始自行举办或者参与行业内的一些 CTF 比赛。比赛规则中设计了漏洞查找、问题解答、安全加固、相互攻击等模式，采用实战性的方法，可以快速训练和提升信息安全队伍的专业技能。

图 6-3　Facebook Capture The Flag（CTF）（图片来自网络）

（5）信息安全实战演练

信息安全实战演练，采用“真演实练”的方式，模拟一些真实的攻击场景，检验员工的信息安全意识和面对攻击的应对水平。这种“以练代训”的培训方式，可以给员工真实的体验和深刻的教训，因此得到了越来越多的重视和实际应用。

由于面向全员开展，对于信息安全意识薄弱的员工可能会形成一定的“侵入式”干扰，因此在正式演练前，需要做一些准备工作：首先，要争取高管层面的支持、认可和授权；其次，应制订详细的演练方案，并在全员层面做好提前宣贯；再次，选择合适的演练启动方式，第一次最好采用“事先通知”模式，之后可以逐步试行“突然袭击”模式；最后，选择合适的演练场景。

适合全员信息安全实战演练的场景主要包括：

·钓鱼邮件和病毒木马。可以针对不同对象采用不同的钓鱼邮件内容，例如，冒充系统管理员“Admin”给全员发邮件要求修改密码，以盗取原账号和密码；冒充合作公司，提交带病毒木马的文档资料或合作方案；冒充人力资源部员工，以“调薪方案”或“工资明细”等为主题，传播带病毒木马的附件等。通过分析演练结果，披露被“钓鱼”的员工比例，揭示钓鱼邮件的主要特征、攻击过程和常用手法，提醒全员警惕钓鱼邮件风险，学习、理解并运用钓鱼邮件的防范手段，防止个人敏感信息泄露和被误导安装病毒木马。

·社会工程学方式。除了钓鱼邮件这一常见社会工程学的方式外，还可以采用假冒角色的方式，骗取敏感信息。例如，冒充上级或同事，向员工索取用户账号和密码；冒充金融企业的高管层向有机会接触敏感客户信息的员工索要客户信息等。通过这些案例，提醒员工警惕社会工程学攻击，防范“潜伏”在身边的风险隐患。

·撞库测试。在互联网上收集一些已泄露的账号密码，在行内系统开展撞库测试，检验行内用户账号和密码是否与被泄露的结果一致，提醒员工要对密码进行分类设置和管理。

·弱口令。采用类似员工姓名+生日、“password123”、纯数字等常见的弱口令，测试密码的强度，防止员工设置弱密码导致的风险。

各项实战演练结束后，应该做一些专题的案例分析，一方面详解攻击原理和过程，另一方面向员工宣传正确的防范措施，必要时可邀请在演练中“不幸中招”的人现身说法，呼吁大家引以为戒。

（6）信息安全活动宣传周、信息安全活动宣传月

近几年国家网络安全宣传周（如图 6-4 所示）和各省的网络安全宣传周办得如火如荼，促使金融企业、广大客户都更加重视信息安全，参与信息安全建设和宣传工作。

在金融企业内部，可以借势开展自己的信息安全宣传工作，也可以组织自己的信息安全活动宣传月，通过视频、画报、宣传手册、有奖知识问答、微信或微博展示等各种各样的形式，向全行及外部客户推广、宣传信息安全理念，提升信息安全意识，防范信息安全风险。

（7）无处不在的安全宣传

信息安全意识宣传必须“抬头不见低头见”，方可提高信息安全的“存在感”，起到更好的宣传效果，促使大家在日常工作中时刻注意信息安全。

图 6-4　国家网络安全宣传周

例如，在电梯口的视频电视中持续播放信息安全意识宣传动画，在食堂墙报上张贴信息安全意识的口诀或者漫画（如图 6-5 所示），在过道拉起信息安全意识的宣传“易拉宝”，在办公环境中的会议室、文印室、办公座位，张贴“信息安全温馨提示”，在办公电脑的桌面屏保推送“信息安全宣传口号”或者“信息安全宣传墙纸”，人手一册发放有安全知识的笔记本等，都是金融企业可以参考的宣传方式。

图 6-5　安全小贴士

（8）定期发送风险提示

针对防钓鱼、弱口令、外发邮件安全、客户信息保护等常见的信息安全风险，可以制作一些风险提示或者电子期刊，结合实际案例，讲解这些信息安全风险的常见表现、解决措施等，主动推送给企业内部员工和外部客户，让大家从案例中吸取经验教训，避免重蹈覆辙（如图 6-6 所示）。

图 6-6　定期通过热点事件发送风险提示

（9）信息安全智能机器人系统

信息安全智能应答机器人，是参照智能客服的模式，以人工智能技术构建自动客服系统。建立信息安全智能知识库，涵盖信息安全基础知识、信息安全制度、信息安全案例、信息安全风险防范技巧等丰富的内容。面向金融企业全体用户提供与系统直接进行文字和自然语言对话的途径，帮助用户用最快的方式获取信息安全相关的知识。此外，在通过“智能应答机器人”平台进行信息安全知识宣贯的基础上，还可以形成专用的信息安全知识订阅号，主动推送宣传信息，与用户形成互动。

（10）外部提供的信息安全培训组合服务

金融企业特别是中小型金融企业的信息安全专业团队普遍存在人力资源不足的情况，能完成基本的信息安全工作已经颇为不易，自主组织和设计各种信息安全培训方案更是一种“奢求”。因此，购置第三方信息安全培训组合服务，可以作为金融企业信息安全培训工作的有益补充。

信息安全培训组合服务可提供定期的信息安全宣传材料，由于培训机构的产品化设计和专业化能力较强，可以制作出内容丰富、形式多样的培训材料，定期推送给员工，引导和影响员工的信息安全意识行为，最终达到提高整体信息安全意识水平的目的。培训机构可以通过信息安全动画、宣传片、视频课程、宣传画、知识手册、屏保、电子期刊（如图 6-7 所示）、现场培训等多种形式提供培训组合服务。

选择信息安全组合服务，最重要的是培训机构必须具备丰富的信息安全管理经验和信息安全培训服务实践能力，拥有具备信息安全专业资质和丰富信息安全培训经验的专业培训师资，且在金融行业承担过较多的信息安全培训服务，能深刻掌握金融行业信息安全的关键风险点和防范措施。

图 6-7　免费订阅网络安全意识期刊

4.培训时机

（1）全员每年例行培训

针对企业全员，每年需要例行开展一些培训，在主题和重点上可以轮换。例如，每年固定一个时间（例如在企业级工作会议或者企业级科技工作会议上）开展信息安全现场培训或者交流；每年固定一个时间（例如每年第三季度开始），组织全员参与 Elearning 在线培训等，使大家“温故而知新”，始终对信息安全“绷紧一根弦”。

（2）员工入职马上培训

对于新入职员工，在入职后一个月内需要开展信息安全培训，最好采用现场培训的方式开展，使新员工熟悉了解信息安全管理的必要性和重要性、信息安全相关的基本概念、企业关于信息安全管理的基本原则、主要的规章制度要点、不能触碰的“高压线”和“底线”、违反信息安全规定的惩罚措施等，并通过案例学习掌握金融企业关于信息安全管理的基本要求，以帮助新员工在进入企业之初就了解企业的信息安全文化和信息安全管理原则，初步掌握信息安全相关的基本知识与技能，养成良好的安全习惯，在工作中注意遵守信息安全管控要求。新员工的信息安全意识培训考核结果，可以与员工的转正相结合。

（3）高危人士时常培训

针对接触企业大量数据的信息科技人员、接触大量客户敏感信息的营销人员、掌握战略或人力资源管理等内部信息的关键岗位员工等“高危人士”，需要加大信息安全培训的频率，至少每半年接受一次培训，部分内容可以一直重复、常讲常新，部分内容可以根据当前形势与时俱进，提醒这些人士时刻警惕风险，防范主动或者被动的信息安全风险。

（4）专业人士专场培训

针对信息科技开发、运维、安全等直接从事信息安全风险防范工作的人士，要定期组织专场的培训，可以内训也可以参加外训，深入学习最新的信息安全技术和理论知识，形成体系化的知识结构，在工作中实践运用。

（5）特殊事件重点培训

在出现安全事件等特殊情况后，必须立即开展案例分析，分析事件发生的原因、影响、后续措施等，着重分析采取何种措施可以避免今后发生类似问题。将这些问题分析透彻并在内部尽可能大的范围内实现共享，就可以避免重蹈覆辙。