官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

工控安全

青骥原创编译 |《汽车信息安全意识与培训指南》

2020-04-23 10:13:59

本文由创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

Hi同路人，这里是青骥信息安全公益小组，时间过得真快，转眼就来到了AUTO-ISAC之BP系列的倒数第二篇：安全意识与培训。世界头号黑客Kevin Mitnick 曾说过一句话：“你可能拥有最好的技术、防火墙、入侵检测系统、生物鉴别设备，可只要有人给毫无戒心的员工打个电话……”。归根结底人才是信息安全最薄弱的环节，无论多么精良的设备，多么严谨的系统与体系，如果信息安全意识不足，一旦形成习惯之后，认为无关紧要的东西，无意“泄露”出去之后，将会带来不可估量的损失。历史一次又一次证明了往往没有意识到风险就是最大的风险，本篇将从整体视角与您分享汽车信息安全意识与培训相关内容。本期统筹编译为公益翻译团荣誉创始成员李玉洲 @Dr.Liyz，校稿为荣誉创始成员@龚桓毅 同学，为他们的无私奉献点赞。

– 主理人：李强 @Keellee

本篇概述

当下的汽车信息安全行业尚处于起步阶段，对于智能网联汽车来说，信息安全也是绕不开的热点问题，此时作为汽车信息安全从业人员，不管胖瘦，至少我们站在了风口上，不小心成了稀缺人才。想要推动整个行业的进步，仅有少数人的努力是远远不够，通过信息安全意识与培训相关的工作，可以让更多的人参与到汽车信息安全领域的工作中来。不管是针对企业内部员工，还是像我们现在做点小公益，絮叨汽车信息安全那点事，其目标都是一致的，希望星星之火，可以燎原。言归正传，按照惯例，我们还是按照章节介绍相应的重点内容。

本篇《信息安全意识与培训》按照工作阶段分为四个部分：设计、开发、实施、改进。

1.设计

车辆信息安全意识与培训设计包括了解业务的需求，确定方案的适合范围，设定相应的战略和计划。如何了解信息安全业务的覆盖范围以及当前的现状？文中列举了独立职能岗位知识评估、关键小组头脑风暴、问卷调查等方法，当然也可以通过内部信息安全论坛和活动，以征求管理者、员工和合作伙伴的直接反馈和关注。培训的范围呢？那就应该基于不同角色区别对待，对于高层管理者适合讲宏观的信息安全标准政策以及整体的成本效益，对于中层管理者，适合培训信息安全整体的知识框架，对于执行者，适合培训具体的技术操作层面的内容。涉及的人员范围也是基于信息安全业务相关的，比如企业信息安全团队、研发人员、生产人员、供应链和采购等。战略和计划还是车辆网络安全意识和培训支持围绕网络安全的总体业务目标。重要的是要确定总体学习目标，这些目标受流程范围、当前成熟度、组织结构和成功措施等因素的影响。公司可能会发现，在编写流程目标时，采用SMART（具体的、可衡量的、可实现的、相关的、时间安排的）或类似的标准是有帮助的。

2.开发

本部分内容主要是开发相应的信息安全的课程内容，由于车辆信息安全与企业信息安全有着许多共同的实践，在课程开发时，可以酌情参考企业信息安全部分的内容。意识提高的作用目的在于建立统一的文化，并保持整个组织对信息安全工作的持续关注，内容因实际变化或交付媒介的不同而有所不同，但基本的目标还是要考虑的，比如将信息安全纳入产品的所有阶段、鼓励各组织部门和事件应对小组之间进行公开、诚实和完全的沟通，以便迅速处理事件等。培训专题系列也给出了建议，比如安全开发周期、车辆攻击矢量、法律和规章要求、应急响应流程、车辆风险分析和评估、安全生命周期管理、隐私、密码学、安全编码、测试技术。课程来源可以在内部制定，也可以从外部来源获得。

3.实施

车辆网络安全意识和培训的实施包括向利益相关方宣传该方案、开展宣传活动和进行培训。建议的信息传递应包括信息安全基本的要点，比如信息安全是公司成功的关键、质量的一部分、影响整个产品生命周期、需要跨部门的共同作用。利益相关方包括内部员工、供应商、合作伙伴和客户。落实到具体的宣传措施，包括小册子、海报、电子标牌和显示器，电子邮件、网页宣传、电子文件、应急响应中心等等，按照本土宣传特色甚至可以拉横幅说明。培训形式可以进行研讨会、演习、数码比赛，当然也可以拍摄网络视频、专题会议、内部课程培训、计算机培训等各种形式，尽可能让利益相关方参与进来。

4.改进

最后就是持续改进，前面的工作开展是否扎实，自然需要评估培训效果和有效性，考虑维度有哪些呢？比如内容的无障碍性、内容质量、对信息的理解、符合预期的车辆生态系统要素等等培训相当于输入，最终的成效还是要体现在具体的工作中去，那么有哪些有效性的指标呢？可以考察的要素，包括事件与反应的平均反应时间、产品脆弱性与培训合规的相关性、培训内容的可用性等具体改进应根据需要经常重新设计车辆网络安全意识和培训。如果流程不能满足业务的需要，是时候重新调整了。公司可以定期考虑是否需要修改车辆网络安全意识和培训目标、范围、战略和计划，以反映业务的不断变化的需求。它有助于实施反馈收集过程，定期收集跨职能员工和合作伙伴对车辆网络安全意识和培训的潜在改进机会的投入。

以上就是今天介绍的信息安全意识与培训的内容介绍，培训本意还是在知识传递的过程，如果脱离的工作实际看着确实会有点虚，但作为培训方确实需要有大量的知识储备，这个对讲师也提出了更高的要求。意识与培训作为信息安全人才培养重要的一部分，也是需要的，在汽车信息安全组织建设的过程，它也应该作为常态化持续运营。

但愿以上对您的学习和工作有所帮助，如果能够通过概览可以节约大家的时间，那么我们的目的也就达到了，再次感谢您的关注与支持！

--主编: 杨文昌@VincentYang

本文及系列中文编译作品版权归青骥信息安全公益翻译团所有

欢迎您转载分享通过公众号或知识星球回复建议

------END------