信息安全领域强调“三防”,“人防”、“物防”和“技防”。“人防”是信息安全防护的基础,主要是指通过管理和培训来保证员工对企业敏感信息的保密意识。本文聚焦于“人防”中的信息安全培训环节,通过分享货拉拉在内部开展信息安全培训的实践经验,谈谈内部建设信息安全文化之路,旨在为读者提供一些借鉴和启示。
员工是企业信息安全的第一道防线。他们每一次的日常操作、数据处理、网络使用以及信息交换,都可能隐藏着潜在的安全风险。为确保企业信息安全,员工需具备高度保密意识和良好安全习惯。因此,信息安全培训至关重要。
但提高员工的信息安全意识并非易事,这是一个既复杂又漫长的过程,它涉及到员工的态度、认知和行为等多个层面。我们在推进培训时主要面临以下问题:
-
员工参与度与积极性低:由于工作繁忙或认为培训内容与自身工作关系不大,员工可能对信息安全培训缺乏兴趣和参与热情,导致培训效果不佳。
-
培训周期和频率不合理:培训周期过长或频率过低,可能导致员工遗忘所学知识;而培训过于频繁又会给员工带来负担,影响业务开展。
-
培训内容有限、缺乏定制化:通用全员培训往往只能涵盖基础的、普遍适用的安全知识,而无法深入涉及与具体业务实际工作场景紧密相关的内容。
-
内部培训人手有限:由于员工人数较多、业务场景较为复杂等客观因素,仅仅依靠内部门的力量来推进信息安全培训,效率较低。如何在有限的资源下,确保培训的覆盖面广、内容深入,贴合员工工作场景,同时又能激发员工的参与热情,这也成为我们面临的一大难题。
为了有效解决上述问题,我们首先将面向的群体细分为全体员工、定向部门/岗位、技术员工、数据安全关键人员四个层级,并针对每个层级分别设计培训方案,从而构建了当前的信息安全培训体系。
面向全体员工的培训与宣传,我们主要以普及信息安全基础意识为主,以下简单聊聊入离职培训和年度全员培训。
鉴于诸多因素,如各家公司对信息安全的要求不尽相同,且新员工的稳定性相对偏低,因此,在新员工加入公司之际,组织新员工信息安全培训显得尤为重要。通过这一培训,我们能够统一向新员工传达并强调公司的信息安全制度及规范,确保他们从一开始就明确并遵守公司的信息安全要求。除了组织统一的培训,我们还通过飞书和企业邮箱向员工定向推送信息安全一封信。
此外,为了降低员工在离职阶段可能引发的数据外泄风险,我们联合人事部门将离职安全提醒环节纳入员工离职流程中。通过定向发送消息提醒的方式,再次强调公司规范,以确保员工在离职时也能够严格遵守公司的信息安全要求。
一年一度的全员信息安全培训是必不可少的,这在货拉拉已经成为传统。年度全员培训一方面是为了提升所有存量员工的信息安全意识,另一方面也是为了满足国家法律法规和监管要求。关于年度全员培训,主要有两点想和大家分享,一是培训策划,二是培训覆盖。
从培训策划而言,为了保证全员培训的效果,让员工有所收获,我们需要考虑培训内容、培训形式、培训渠道等多个因素。培训内容通常以常规的信息安全基础意识为主,包括What-什么是信息安全,Why-为什么要保护信息安全,以及How-如何保护信息安全。培训形式一般是以在线视频,真人讲解或者有趣的MG动画我们都尝试过。培训渠道,我们使用的是内部在线学习平台,便于精准掌握每个学员的学习进度及考试情况。
从培训覆盖而言,我们的目标是100%全员覆盖,但由于员工基数相对较大,实现这个目标是有一定难度的。因此为了尽可能提升培训覆盖率,我们做了两个工作。一是让年度培训师出有名,简单来说就是在培训前期做好铺垫,自上而下拉齐本次培训,对上需要获得高层支持,对下使用公司级别的名义发出全员培训通知;二是用好手上资源,合力推动本次培训。我们可以充分利用部门HRBP、部门对接人以及安全BP等群体的力量,在培训周期内,定期向有关干系人通晒培训数据,并配合提供未完成名单。
部门定向培训是在年度全员培训以外,额外针对特定部门开展专项培训的形式。它可以覆盖存量员工,避免由于时间的推移导致的安全知识遗忘,并且可以通过培训调研了解特定部门的业务场景和实际培训需求,从而输出更有针对性的个性化的培训内容,做到因材施教、因需施教。
部门定向培训通常由安全培训人员主动发起,在确保业务正常开展的前提下,根据实际情况策划各部门的培训落地节奏,同时我们需要与各部门领导及接口人保持良好沟通,这样才能确保培训的顺利推进和闭环。除此之外,我们还可以与业务部门进行合作,培养合作讲师,联动更多力量一起完成,下面将对此作简要介绍。
鉴于安全培训人员有限,为提高定向培训的频率并扩大其覆盖范围,我们还搭建了信息安全讲师合作体系。通过设立激励机制,我们从业务部门广泛招募合作讲师,并对他们开展课件赋能培训,然后让他们逐一去覆盖业务部门。
这样做带来了几个好处,一是充分利用了业务部门的人员力量,二是业务员工对业务的工作场景更加了解,他们能够结合具体业务场景,为员工们提供生动且实用的实例,为专项培训注入了新的活力,三是通过这套激励机制,我们和业务部门的关系也走的更近了。
面向技术中心,我们也会对研发、测试、运维等不同序列的员工不定期开展相关培训。通过在线培训、文章宣导等方式进行覆盖。内容涵盖常见的安全漏洞解析、研发安全流程规范以及业务安全实践指导等,旨在提升技术人员的研发安全意识和实际操作技能,确保他们在工作中能够遵循安全标准,有效防范安全风险。
此外,我们深知安全内部能力的重要性,尤其在攻击手段和技术不断更新的背景下。因此,内部安全人员的技能提升也是我们需要关注的重点。为此,我们定期举办内部能力提升培训和分享会,帮助内部安全人员及时了解新形势、掌握新技术,以应对日益复杂的信息安全挑战,确保他们能更好的应对日常安全工作。
数据安全关键人员指的是公司数据安全相关的技术和管理人员。他们是保障企业数据安全的中坚力量,必须保持对监管要求和行业趋势的敏锐洞察,才能及时应对各种安全挑战。为此,我们通过定期分享行业前沿文章,确保他们能够第一时间了解最新的安全动态、技术发展和政策调整。
此外,我们还不定期举办数据安全专项培训,邀请业内专家进行授课,针对当前的安全热点和难点问题进行深入剖析和探讨,以提升数据安全关键人员的专业能力,帮助他们更好地应对复杂多变的安全环境。
除了上文提到的各项培训工作以外,我们也会进行日常安全意识宣贯,通过不定期发布信息安全科普文章、开展趣味活动等形式,宣扬信息安全文化,提高员工安全意识。那么如何有效地进行信息安全意识宣贯,使宣贯效果最大化,是一个值得深思的问题。以下将从宣贯内容、渠道和形式这三个方面谈谈相关实践经验。
在策划内容时,我们首先将信息安全领域的知识体系划分为办公安全、数据安全、网络安全、终端安全、法律法规、个人信息保护等子模块,子模块下再细分具体的知识点,然后根据知识点进行选题的敲定及排序。
关于如何选题,需要结合员工的实际工作场景和现阶段的安全要求。在此基础上,可以从多个渠道收集员工的实际关注诉求,例如我们可以通过问卷调研、员工安全咨询进线问题、违规情况等渠道挖掘更多选题。
敲定选题后,我们就需要正式输出文案了。笔者认为,有输入才会有输出。我们可以通过各种途径积累选题素材,归纳总结后,再输出言简意赅、适合员工阅读的文案。一般来说,简洁明了的内容能够迅速传达核心信息,减少员工的阅读负担,可读性更强。切勿堆砌各种专业名词。
当然,光有内容还不够。宣贯内容的触达程度在很大程度上取决于标题以及封面,因为员工在接收到内容的时候,首先看到的一定是标题,其次是副标题和封面。
要想激发员工的阅读欲望,那么标题需要兼具相关性、吸引力以及一定的新颖性。相关性指的是内容要和员工相关,吸引力可以是奖品吸引,如“文末福利”、“互动有奖”等,吸引力也可以是对某个知识点提出疑问来引发员工好奇,新颖性指的是员工未知的知识。
最后,封面的设计。一个美观、大气的封面相当于一个房子的大门,房子装饰得好看,会让员工更愿意推开门走进去。因此,注重封面的视觉设计,使其与标题和摘要的内容相得益彰,共同构成一个吸引人的整体,也很重要。
总的来说,一个好的标题及封面应该能够迅速抓住员工的注意力,激发他们的兴趣和好奇心,同时与员工的日常生活和工作密切相关。
有了内容以后,我们下一步,需要考虑的是如何最大化的触达给员工。在如今快节奏且工作碎片化的时代,员工往往难以有足够时间专注学习某一个宣传物。因此,利用好线上线下的宣贯渠道,为员工打造一个“随时随地都能学”的学习环境,对于内容的覆盖程度以及提升员工学习效率至关重要。
在货拉拉,我们线上宣传渠道有飞书订阅号、飞书机器人、知识库、有货社区、各种飞书群、开屏广告、社区banner等,需要充分并合理利用好这些渠道。当然啦,我们并不盲目地将内容推送到所有渠道,而是对不同渠道的特点和受众差异进行分析,再根据宣传内容的性质和目标受众的需求,有目的地将物料分发到合适的平台,这样员工也不会觉得消息推送过于频繁和打扰。
我们覆盖的线下渠道主要集中在员工进出比较频繁的地点,如洗手间、电梯厅、茶水间、会议室等。在这些渠道可以覆盖的介质有海报、桌面台卡、易拉宝等。由于员工在这些地方停留时间一般较短,所以内容策划上可以选择简洁明了、重点突出的内容,再搭配色彩绚丽、设计美观的排版,会更吸睛。
宣贯形式的选择也很重要。要想持续提升员工的学习体验与效果,防止阅读疲劳和审美疲劳,我们也需要在宣贯形式上进行创新和优化,尽量让员工学习、了解安全知识变得更加轻松、有趣。
内容宣传形式方面,从长图、漫画、短句,再到MG动画以及真人拍摄视频,我们也一直在不断探索。
安全漫画:结合实际新闻热点,以轻松幽默的方式呈现安全知识,让员工在欣赏漫画的同时,也能深刻理解安全的重要性。
一图看懂:一图看懂系列采用直观的图解方式,将复杂的安全概念、防御策略和操作流程等以简洁明了的图形展现,帮助员工们更好的提高对安全知识的理解和应用能力。
安全Tips:通过短小精悍的文本形式,让员工在短时间内掌握关键的安全知识点;同时搭配热点时事新闻,通过跳转可以了解更多近期安全新闻及态势。
![货拉拉信息安全文化体系建设的探索与实践]( "货拉拉信息安全文化体系建设的探索与实践")
安全视频:在安全视频制作方面,也需要不断推陈出新。从传统的培训课件讲解视频,到生动的MG动画呈现知识点,再到充满趣味且引人深思的真人场景剧,都可以尝试,会给员工带来新鲜的体验。
活动形式又分为线上活动和线下活动,线上活动不受地域限制传播性更强,线下活动互动性更强体验感更佳。通常二者结合使用,效果更佳。以下简单介绍几种常用活动形式。
H5小游戏:精心设计的H5小游戏,趣味性强,不受地域限制,全体员工都可以参与。员工们在轻松愉快的氛围中,通过互动体验巩固所学知识,增强记忆效果,让学习变得既有趣又有效。
游园式体验活动:通常在信息安全月期间开展。游园会打卡玩游戏的方式,可以让员工沉浸式学习信息安全。这种互动式的活动形式,不仅让员工们乐在其中,也让他们对于获得的安全知识印象更加深刻。
职场随检活动:随检活动指的是通过深入职场实地检查员工的日常办公行为,对于安全的给予“奖励”贴纸,对于不安全的给予“警告”贴纸,以此督促员工加强办公安全基本意识。
在开展各种活动的过程中,为了激励员工积极参与,我们也要善用多样化的激励措施,如设立排行榜奖励、颁发考试证书、提供头像挂件勋章、随机抽奖等,以认可员工学习成果,激发其荣誉感和参与热情。
综上,内部信息安全培训体系需要持续建设和运营,这样才能持续拉伸企业信息安全“人防”水位。希望本文的分享能给各位读者带来一些借鉴和思考。展望未来,我们会不断优化信息安全培训体系,继续宣扬信息安全文化,深化员工安全意识,扩宽安全知识视野,提升运营技能水平,以应对信息技术的不断发展和企业业务日益复杂的挑战,共同筑牢企业数据安全防护基线,保障货拉拉司用信息安全。
原文始发于微信公众号(货拉拉安全应急响应中心):货拉拉信息安全文化体系建设的探索与实践
评论