中小型企業(yè)如何進(jìn)行安全意識(shí)培訓(xùn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

法規(guī)遵從性和數(shù)據(jù)漏洞的增長(zhǎng)使各公司的安全意識(shí)培訓(xùn)計(jì)劃勢(shì)在必行。薩班斯·奧克斯利法案與健康保險(xiǎn)便利和義務(wù)法案要求進(jìn)行安全意識(shí)培訓(xùn)。這項(xiàng)要求涉及到承包人、賣主等――如那些為規(guī)范的公司提供服務(wù)的中小型企業(yè)。無(wú)論如何，教導(dǎo)員工一些關(guān)于計(jì)算機(jī)安全衛(wèi)生的只是都是個(gè)好主意。它能幫助保護(hù)公司的知識(shí)資產(chǎn)，如果這些資產(chǎn)丟失，就足以導(dǎo)致一個(gè)沒(méi)有能力保護(hù)自己的中小型企業(yè)的垮臺(tái)。然而，不像它們?yōu)橹峁┓?wù)的那些規(guī)范的公司，中小型企業(yè)沒(méi)有龐大的預(yù)算和專門的培訓(xùn)部門人員。

著重點(diǎn)

有兩點(diǎn)是中小型企業(yè)在安全意識(shí)培訓(xùn)進(jìn)程中需要特別注意的。第一點(diǎn)，對(duì)全公司都要教授一致的安全信息，中小型企業(yè)太小而不足以實(shí)行具有不同傾向的多種培訓(xùn)計(jì)劃。并且，這項(xiàng)計(jì)劃要由信息技術(shù)部門負(fù)責(zé)管理。

第二點(diǎn)，要謹(jǐn)記你的大部分電腦使用者并不是專門人員，培訓(xùn)應(yīng)該簡(jiǎn)單且接近日常用戶。

無(wú)論你的側(cè)重點(diǎn)是什么，以下這些在每個(gè)計(jì)劃中都是絕對(duì)必要的。

用戶名和密碼的處理

員工應(yīng)該學(xué)會(huì)安全操作用戶名和密碼。比如，如何選取安全系數(shù)高的密碼，不要將密碼寫在紙上或?qū)懺谡迟N于顯示器的便簽上，更不要告訴任何人包括技術(shù)支援中心。

網(wǎng)絡(luò)和郵件的使用

員工應(yīng)該學(xué)會(huì)提防電子郵件的附件，特別是來(lái)自未知發(fā)件人的郵件。告訴他們這些附件可能包含病毒、特洛伊木馬和其他惡意程序等會(huì)損害公司的東西。員工還需要知道公司對(duì)合理使用互聯(lián)網(wǎng)和安全瀏覽的政策，在辦公室的網(wǎng)絡(luò)接入應(yīng)該只能于業(yè)務(wù)用途。色情和賭博網(wǎng)站都會(huì)含有惡意程序。這些要在協(xié)商中解釋以使員工們理解。

移動(dòng)設(shè)備和便攜式電腦安全

教導(dǎo)那些以便攜式電腦為生經(jīng)常出差的人如何防止在旅行中電腦被盜，要他們?cè)跈C(jī)場(chǎng)等公共場(chǎng)所登陸時(shí)要當(dāng)心別人偷窺到用戶名和密碼。員工也要知道在辦公室中USB接口和無(wú)線接入點(diǎn)能造成的威脅。應(yīng)該教他們這些移動(dòng)設(shè)備不能在工作中使用。

社會(huì)工程學(xué)

負(fù)責(zé)涉外的員工有可能被一些精于記誦的人欺騙，他們會(huì)用花言巧語(yǔ)誘騙這些員工透露公司的信息或者能夠接入重要系統(tǒng)和資料數(shù)據(jù)的用戶名和密碼。教這些員工基本的職業(yè)訣竅以防止他們被騙。

應(yīng)對(duì)突發(fā)事件

如果一個(gè)員工感到有些東西可疑或認(rèn)為出現(xiàn)了漏洞，教給他們應(yīng)對(duì)這些突發(fā)事件的程序。讓他們知道該去找誰(shuí)和怎么找。

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)行了本極好的刊物，SP-800-50，上面提供了該如何策劃安全意識(shí)培訓(xùn)的模版和指導(dǎo)。這份70頁(yè)的文件有免費(fèi)的PDF版可以在研究院的網(wǎng)站上找到。

內(nèi)部培訓(xùn)、外部培訓(xùn)或網(wǎng)絡(luò)培訓(xùn)

傳統(tǒng)上，有三種途徑策劃安全意識(shí)培訓(xùn)：在公司內(nèi)部尋找培訓(xùn)人員和培訓(xùn)部門，聘請(qǐng)外部培訓(xùn)公司或者依托網(wǎng)絡(luò)、電腦進(jìn)行培訓(xùn)。任何一種方案都會(huì)超出中小型企業(yè)的財(cái)力資源。

如此，能滿足中小型企業(yè)想要提高員工信息安全意識(shí)到正常標(biāo)準(zhǔn)的途徑是什么呢?有在傳統(tǒng)三個(gè)方法的基礎(chǔ)上加以少許改動(dòng)的兩條途徑。中小型企業(yè)可以仍然可以使用內(nèi)部資源進(jìn)行范圍性培訓(xùn)或者購(gòu)買網(wǎng)絡(luò)、電腦的培訓(xùn)程序。另外，中小型企業(yè)還可以創(chuàng)造性的在辦公室張貼些成本低的彩色安全意識(shí)海報(bào)對(duì)員工潛移默化。

如果你的信息技術(shù)部門能提供一兩個(gè)人策劃培訓(xùn)，一個(gè)內(nèi)部特制的計(jì)劃也是可行的。按照NIST的指導(dǎo)方針或其他材料，策劃一天或半天的課程就足以使讓員工認(rèn)識(shí)到有關(guān)電腦安全的幾點(diǎn)重要問(wèn)題。

也有很多價(jià)格合理面向中小型企業(yè)的基于網(wǎng)絡(luò)和電腦的培訓(xùn)。

Glenelg，Md的一家Native Intelligence公司出臺(tái)了一個(gè)有趣的培訓(xùn)計(jì)劃。這家公司提供網(wǎng)絡(luò)培訓(xùn)，帶有安全小提示的通訊和海報(bào)。所有材料都能夠定制并印上你們公司的標(biāo)識(shí)。Native Intelligence公司也對(duì)材料定期升級(jí)。這個(gè)程序能夠指導(dǎo)誰(shuí)完成了培訓(xùn)，以保證每個(gè)公司員工都真正接受了需要的安全培訓(xùn)。

UK-based Easy i公司提供相似的網(wǎng)絡(luò)培訓(xùn)，他們可以定制培訓(xùn)以適應(yīng)個(gè)別公司的需求。他們同樣提供不需要定制的產(chǎn)品。The Security Awareness公司提供網(wǎng)絡(luò)培訓(xùn)、視頻教育、實(shí)況指導(dǎo)、角色扮演和仿真游戲。

最新奇的途徑來(lái)自于國(guó)家安全研究院的"安全意識(shí)"。它以HTML格式向用戶發(fā)送帶有安全信息的電子郵件和會(huì)直接彈到員工桌面的彈出窗口。它宣傳自己是最便宜的，培訓(xùn)五千名員工只需每年995美元。

不管你選擇哪個(gè)計(jì)劃，請(qǐng)確保它確實(shí)適合你的需求并能檢驗(yàn)員工學(xué)習(xí)并完成了課程。通過(guò)這些途徑，一個(gè)中小型企業(yè)就能達(dá)到安全意識(shí)培訓(xùn)的規(guī)格標(biāo)準(zhǔn)。(techtarget)