freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈企业安全意识教育
2023-01-18 16:54:54
所属地 广东省

安全意识教育是提升员工安全水平,保障企业网络空间安全的重要途径,也是满足合规要求中不可或缺的环节。很多企业通过开展安全意识宣贯或者培训已经形成了比较完整的模式和方法,笔者近两年主导几次安全意识教育活动,其中涵盖了宣贯和培训形态,今天跟大家简要分享。

人是万物的尺度,同样人也是安全的尺度。一个企业安全水平的高低,不仅仅通过技术衡量,更应通过人的理念水平来衡量。安全意识教育承担着安全运营媒体的作用,将管理决策层批准的安全制度和规范,以容易理解的形式向员工进行宣导和培训,吸纳和团结所有员工一起参与到企业的安全工作当中来,共同建设、共同维护、共同提升企业安全水平。如果参考了安全管理体系框架来开展安全工作,就会发现安全意识教育是每个框架中都会着重强调的工作。从法律法规的层面看,无论是《网络安全法》《个人信息保护法》《数据安全法》,还是《网络安全等级保护条例》都将安全意识的教育与培训作为企业的合规义务和检查要求。因此,开展好安全意识教育,不仅能提升企业安全水平,也能有效满足合规要求。

普遍存在的问题

企业开展安全意识教育往往会陷入这样的怪圈:由于缺少资源投入或是优先级靠后,使得安全意识教育工作流于形式、不接地气,效果不好衡量,最后安全意识教育工作就进入了恶性循环;越是难于推动,投入的资源越少,优先级越靠后。

一是流于形式。

安全团队对安全意识工作往往缺乏重视,会认为安全宣传和意识教育工作是上级交代的任务或者监管作业,每年定期开展几次培训会议、发几本手册就可以交差了;或者虽然主动启动了安全意识教育工作,也是需要宣贯哪些规章制度,就临时开展一次。由于缺乏活动策划的章法和设计思路,安全团队很难将安全意识教育的价值最大化。究其根本原因,乃是没有认识到安全教育工作在整体安全工作中的位置,认为这是一项垂直领域的事务性工作,与安全组织管理、产品技术和运维流程等专业工作距离较远,没能与安全业务目标和安全风险重合结合起来,缺乏战略层面对安全意识教育工作的重视。

二是内容不接地气。

一方面,在意识教育的内容设计上,不能很好地贴近员工。安全团队开展意识教育工作,往往立足于安全团队的一亩三分地,加之网络空间安全内容较多,每个领域都很专业,业务部门的同学在理解这些内容上门槛较高,安全团队很难短时间内用通俗易懂的语言让业务人员理解安全的要求。同时,在内容设计上只聚焦于安全规范中的条条框框,与业务人员日常操作脱节严重,对其日常工作的指导意义不大。

另一方面,在意识教育的形式设计上,让员工难以接受。采用原始的的问卷方式、过时的页面展示,加之活动往往采用单向输出价值观的形式,员工敢怒不敢言,为了礼品勉为其难,为了考核赶快学完,难以让教育活动在企业内持续良性运转,难以将安全理念转变为企业文化基因的一部分,扎根发芽。三是活动效果难以有效衡量。

三是活动效果难以有效衡量。

一是安全意识教育与安全业务的关联性问题,这种关联性体现在对什么样的受众人群开展教育,以及采用什么样的内容开展教育两个方面。在受众人群方面,安全意识教育多是以全员覆盖必修的形式开展,而忽略了受众人群的业务特征、岗位特征、风险特征。由于缺乏针对性,自然不能衡量得到安全意识教育的价值。在内容方面,除了输出安全理念和规章制度,也可以借此机会向员工宣传网络安全的新产品、新能力。容易被忽视的是,透过意识教育的活动,也可以吸收企业员工对安全的意见和期待,能够促进安全意识教育与安全业务目标的达成。

二是安全意识教育本身评价指标设定的问题。一般来说,衡量活动效果可以通过参与人数或参与率、问题回答正确率、反馈问卷等方式进行评价。这种方式可以在一定程度上评价活动效果,但不能单纯使用上述指标衡量活动的受欢迎程度,同时也不能以上述指标来衡量安全意识教育的有效性。当然,由于意识教育的形式可能会采取多渠道多形式,对每个环节的参与和反馈情况评价标准不统一,难以拉齐横向对比。在设计意识教育活动的目标时,应该关联安全目标或运营指标,通过活动后的环比或同比来进行归因分析,进而判断安全意识教育对该项安全目标或运营指标的的影响程度。

安全意识教育的策划框架

如何能让员工更愿意参加学习,真正提升员工的安全意识水平,增强企业安全能力,笔者认为可以从以下几个方面设计和执行安全意识教育工作。

一、因地制宜,争取支持

  1. 识别公司文化环境,确定安全意识教育基调

在开始安全意识教育之前,深入开展需求分析时十分必要的,从来没有一招鲜的意识教育方案可以随时随地适用。首先需要考虑的是,公司的发展阶段是否是高歌猛进,对安全风险的容忍度有多高,领导决策层对安全的重视程度,对违反安全红线的处置态度。公司的文化环境是什么样,是自上而下严格的管理驱动,强调行政管理大于个人意志,还是自下而上员工自主驱动,鼓励员工积极发声表达不同意见。公司文化的不同,在很大程度上直接影响开展安全意识教育的开展策略。

  1. 明确意识教育在安全业务中的作用

其次要看公司安全现状如何,安全意识教育在当前安全工作中的作用是什么,达到的目的是救命的目标、治病的目标还是养生的目标。公司安全事件频发,很多核心资料被窃取,或者合规风险陡然增加,需要通过处罚案例来警醒员工,避免重蹈覆辙,这是救命的目标。公司在某些特定领域有一些安全风险,业务流程或者员工操作习惯需要进行调整,意识教育的目的是通过对员工的行为改善,降低这种风险发生的可能,这是治病的目标。再或者公司整体安全水平已经较高,日常安全工作能够有效控制风险,通过持续的意识教育活动推动安全文化的形成,真正形成联防联控全民皆兵的形式,这是养生的目标。

3.协同相关团队,在形成组合效应

安全意识教育工作要得到员工的支持,就首先要得到安全决策和管理层、以及安全团队其他成员的支持,这自不必说。同时也要寻求兄弟部门的协同,例如集团与子公司间、子公司之间、业务单元之间的协调统一;由于组织架构设计的不同,有些公司存在安全BP、或者安全人员下沉到业务线的形式、或者存在一二三道防线的组织架构,也要尽可能做到风险管理部门与安全服务部门间的协同,三道防线间内控/反舞弊/稽核与安全部门间的协同,管理政策原则上的统一,控制细则上百花齐放,专业领域上互相借鉴,取长补短,借助彼此的专长共同降低风险,提升员工意识水平,进而达到事半功倍的效果。

二、方案设计,兼顾实效时效与长效

  1. 围绕安全业务目标,层层解构来设计活动方案。

安全意识教育不是独立于其他安全工作展开的,也绝不是单单完成一次形式上的活动,要让安全意识教育工作有价值、可持续,就需要时刻围绕整体安全工作的目标来设计活动方案。安全政策制度更新需要向员工宣贯;一些政策正在制定中,需要员工的意见反馈或者建议输入;业务高速发展也需要兼顾安全需要先员工输出价值理念;安全运营发现特定领域或者场景是存在潜在风险,需要联合员工一起来提升整体安全水平等等,这些都是需要安全意识教育协助安全团队解决的问题,以这些为目标导向逐层分解不同活动环节的目标,并设计宣贯话术题目以及展示的形式渠道,才能有的放矢。

  1. 找准活动开展时机,及时响应安全业务诉求。

安全意识教育的时间点,一般是定期开展与按需开展的相结合来推动的。按需开展的时间点比较好把控,能够在企业发布新的制度政策、新的监管要求、泄露事件或者攻击事件的时候,及时响应,但也由于时间紧凑往往形式相对简单。而定期开展的活动,则需要回顾一个周期内,企业层面的主导思想、监管和行业环境的变化重点,以及安全部门在这个周期内的重点工作,借用安全意识教育的机会进行宣贯。

  1. 内容易懂通俗易传播,形式连贯延长时效。

安全意识教育活动在设计宣传文案和宣贯内容时,不仅要把安全主张和要求融入其中,更要本着简单实用、通俗易懂的原则,让枯燥的安全规范和要求,能够易于理解、容易接受、便于传播,能够让受众人群知道如何具体操作才不会犯错,最好再能利用一些有趣的话术,玩一些文字梗让安全的规范制度有一定的传播力,相比与生硬的灌输,更能起到宣贯的作用。安全意识教育活动要具备连贯性,内容上的前后呼应,渠道形式上的一致连贯,能够加深员工记忆和印象,强化员工对安全工作的认可和接受程度,延长每次宣贯后的“药效”。 在内容方面,可以根据安全管理制度各个层面的要求进行设计,或者根据时间线的前后顺序进行设计,或者根据受众的看到的、听到的、玩到的主观感受来设计等等。内容连贯性也有助于在形式上更多样的展示,以连续的故事情节承载更多的安全宣贯主题,或者同样的内容变换不同的渠道和形式,达到强化宣传效果。在形式方面,保持活动形式的设计元素、宣传渠道,话术文案等保持同样的风格,尤其是IP形象可以迭代升级,但不能出现前后不一致的情况,这会给员工用户造成很大的误导。

  1. 区分受众分类推送,全员小众侧重实效。

安全意识教育工作通常采用全面覆盖、全员必修的形式,要求所有员工必须在规定时间内完成指定内容。这种方式在全面的政策宣贯和价值理念推广覆盖的角度,效果是相对较好的。但是也要考虑到,内容过于宽泛往往缺乏实操性,对一线业务员工的具体操作指导意义就会有所缺失;另一方面部分人群可能具备了较高的安全素养,重复的学习会使得员工增加负面情绪,并不能对安全工作起到积极作用;同时有些人群在某些方面可能存在安全风险,而广撒网式的宣贯活动,并没有真正收敛和化解这些风险,安全意识教育工作没能真正起到实效。因此,在安全意识教育时,可以根据受众人群的岗位特征、业务周期特征、以及其个人的安全风险特征针对性地制作宣贯内容,采用不同的推送渠道和提醒方式来开展。

  1. 注重体验营造氛围,鼓励参与都有收获。

安全意识教育本质是安全运营的一项工作,通过运营让更多员工用户认同安全的理念和价值,形成最广大的统一战线,共同营造联防联控的局面。因此安全意识教育的活动也要关注参与人群的体验,拉进与员工的距离,营造成为类“粉丝群”的运营模式,不断扩大“私域”的范围,就能实现联防联控的目标。增强体验感可以考虑从氛围感、参与感、获得感三个角度来实现。安全意识教育活动的事前预热和事后回顾,内容素材的统一、有趣、易接受,宣贯形式采用的视频、H5、说唱、小视频等呈现方式新颖吸引人,都能够在接受度和话题性上营造良好的氛围感,提升安全宣传的体验。参与感则是从受众人群的角度来考虑的。如果安全意识教育活动的活动设计,能够让受众人群参与其中,甚至是参与到安全工作的具体讨论中,受众人群会认为自己的行为就是安全工作的一部分,自己的意见想法和声音能够得到尊重,这会极大的增加受众人群对安全意识教育活动的粘性,同时也会增加对安全团队工作的认可和信赖。每次安全意识教育活动都会伴随给参与人群提供一些活动奖品、免费的零食,以此来吸引受众人群积极参与活动。这是一个十分简单高效的方法。此外,也可以考虑在精神层面为受众提供一些收获。比如,一些有趣的冷知识,一些精彩的案例;有仪式感的颁奖活动;有纪念意义的徽章等等。当然,采用这种方式,需要投入更多的精力设计方案,使得活动形式能够更加让人印象深刻,强化精神层面的获得感的来之不易,才能让受众更加重视。

三、总结复盘,注重安全能效提升

意识教育活动后,需要对活动情况进行总结复盘,分析活动指标、业务目标、成本目标的达成情况,并找到提升空间。首先要统计的就是每个环节/每次宣贯的活动指标,如报名人数,实际参与人数,多少人是重度参与,有多少人在什么时间点没有继续参与等等;如果采用问卷的形式,也可以进一步深入的获取受众人群对每项内容的意见和反馈情况。进一步,则需要关注本次意识教育活动,对安全管理制度宣贯、对安全产品技术优化、对安全风险的收敛有哪些帮助作用,贡献率多少。有了业务目标达成情况的计算,结合成本的数据,可以轻易的得到投入产出的情况如何,在哪些方面的优化,能够提升投入产出比。 最后,活动结束后的复盘,会对方案策划过程中框架进行数据验证,判断活动时机、内容、形式、受众人群如何调整能够达到最优的效果;复盘过程中还经常会有些意外收获,那些认真准备的环节可能不是受众人群真正关心的,那些无心插柳的设计反到成了活动的爆点,对意识教育起到促进作用,尝试对这类情况进行分析,能够为未来的活动方案策划提供更多的数据支撑。

总结

安全意识教育不是工程开发,不是制度设计,并没有一定之规,也不分孰优孰劣,而是在环境上因地制宜,资源上因势利导,在实操层面注重实效,不断打磨,持续提升运营水平,真正为企业安全建设贡献力量。企业想要实现全员较高的安全水平,不是一蹴而就的,是员工一点一滴的习惯养成,一年一年的文化积累才能达到的。这其中对安全意识教育的要求,并不比一个安全产品的建设,一套管理制度的出台更容易,而是需要投入更多的精力,让安全的理念在员工中间一点点生根发芽,持续灌溉,慢慢形成一个安全文化生态。

# 系统安全 # 数据安全 # 企业安全 # 安全意识 # 安全意识教育
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录