业务导向甲方网络安全策略设计#5员工培训及系列总结
笔者:国际认证信息系统审计师、软考系统分析师
关于安全策略最后要说的是员工培训,这也是接上在上一期:
最后的内容,也是关于员工培训。
虽然放在最后,但并非最不重要。相反,培训人员是网络安全策略的关键。因为人是生产关系中最活跃的因素。如果企业人员不称职、不履职,企业就必然走向关停。同样地,如果企业人员漠视安全风险,企业也必然会因此而导致损失。
因此,对员工的培训需要保证具备以下要点:
设计不同的业务运行期间会产生的风险场景,并训练企业员工适应每一种风险场景。尤其是对员工的培训覆盖面应为100%,让每个人都意识到风险无处不在,任何人都可能成为受害者。
对企业信息化人员,也就是在网络安全和数据管理的技术人员方面,必须定期进行演练,尤其是应急演练。通过演练确保每个人都知道在出现风险时,应如何处置。进一步地,应安排带有压力的风险场景,测试技术人员是否能在压力下完成处置工作。
企业内部需要有良好的沟通机制。任何软硬件系统都无法完全取代人的作用,尤其是人和人之间的沟通作用。常见做法是建立固定的多级联系人机制,制定相应的报告机制,重点是在发生安全事件时,应允许越级直接上报。
培训的内容不能只是常识性、泛泛而谈。应该是和员工的具体工作相关联,尤其要渗透到对外联系的业务过程中的工作细节,比如如何正确收发处理电子邮件这种工作细节。
要覆盖到企业内的每个岗位(每个人),要能确定到每一个人的安全职责,实现全员安防。任何企业都不能仅靠个别一两个IT人员的能力去解决全部安全问题。责任必须落到每个人的身上,每个人都应该知道在出现安全事件时应如何采取行动。
在企业内部的员工培训工作需要充分实施以上5个要点。虽然,这5个要点无疑会对企业基层员工、企业的管理人员带来工作压力和精神压力。但从风险管理角度,在低风险状态下适当引入压力进行测试,总比意外事件来临时手足无措要好得多。
网络安全策略的重要性主要体现在以下三个方面:
-
减免法律责任承担:良好的安全策略可以在某些情况下免除企业的责任。
-
提升内部运行质量:工作人员清晰了解什么该做什么不该做,压力就会减少,反应就会更快,从而提升工作效率。
-
确保企业声誉:通过安全策略避免发生安全事件,带来的是对维护企业声誉的无形收益。
要设计出良好适用的网络安全策略,企业(管理者)需要具备以下四个因素的能力:
-
良好的数据敏感度和数据管理能力
-
良好的内部沟通协作能力
-
执着且频繁的内部检查和更新
-
充分的员工意识培训和风险评估
如果负责制定网络安全策略的管理者的能力能涵盖这四个方面,并定期实践良好的数据治理,相应地,企业对网络安全风险的态度、立场就能明确,并能正面反馈回到管理者继续关注和改进网络安全策略。
总的来说,网络安全策略是一套解释如何保护你的公司和客户数据免受国内外网络攻击的程序。它并不是特别复杂,但它包括了当前的情况、风险、需求以及未来如何应对它们的计划。
创建一套网络安全策略并不简单,但它也并不难。分解出你需要保护的东西,并识别出你可能面临的危险,参考网络安全咨询行业的各种观点,糅合在一起,最终形成企业内部网络安全策略。
网络安全策略应包括各种具体的应对程序,并确保每个人都有如何遵循它们的工具和知识。应对程序不应该模糊或特别技术性,因为它们是对企业员工在特定情况下应该做什么的指导方针。
最后还是要提醒的是,注意收集的数据,并将其分解为非关键数据和关键数据。黑客和骗子可能会为获得企业的数据而关注企业收集数据的过程和操作。要特别为此类攻击行为做好应对计划。
本站微信订阅号:
本页网址二维码: