中小型企業(yè)如何進行安全意識培訓

申請免費試用、咨詢電話：400-8352-114

法規(guī)遵從性和數據漏洞的增長使各公司的安全意識培訓計劃勢在必行。薩班斯·奧克斯利法案與健康保險便利和義務法案要求進行安全意識培訓。這項要求涉及到承包人、賣主等――如那些為規(guī)范的公司提供服務的中小型企業(yè)。無論如何，教導員工一些關于計算機安全衛(wèi)生的只是都是個好主意。它能幫助保護公司的知識資產，如果這些資產丟失，就足以導致一個沒有能力保護自己的中小型企業(yè)的垮臺。然而，不像它們?yōu)橹峁┓盏哪切┮?guī)范的公司，中小型企業(yè)沒有龐大的預算和專門的培訓部門人員。

著重點

有兩點是中小型企業(yè)在安全意識培訓進程中需要特別注意的。第一點，對全公司都要教授一致的安全信息，中小型企業(yè)太小而不足以實行具有不同傾向的多種培訓計劃。并且，這項計劃要由信息技術部門負責管理。

第二點，要謹記你的大部分電腦使用者并不是專門人員，培訓應該簡單且接近日常用戶。

無論你的側重點是什么，以下這些在每個計劃中都是絕對必要的。

用戶名和密碼的處理

員工應該學會安全操作用戶名和密碼。比如，如何選取安全系數高的密碼，不要將密碼寫在紙上或寫在粘貼于顯示器的便簽上，更不要告訴任何人包括技術支援中心。

網絡和郵件的使用

員工應該學會提防電子郵件的附件，特別是來自未知發(fā)件人的郵件。告訴他們這些附件可能包含病毒、特洛伊木馬和其他惡意程序等會損害公司的東西。員工還需要知道公司對合理使用互聯(lián)網和安全瀏覽的政策，在辦公室的網絡接入應該只能于業(yè)務用途。色情和賭博網站都會含有惡意程序。這些要在協(xié)商中解釋以使員工們理解。

移動設備和便攜式電腦安全

教導那些以便攜式電腦為生經常出差的人如何防止在旅行中電腦被盜，要他們在機場等公共場所登陸時要當心別人偷窺到用戶名和密碼。員工也要知道在辦公室中USB接口和無線接入點能造成的威脅。應該教他們這些移動設備不能在工作中使用。

社會工程學

負責涉外的員工有可能被一些精于記誦的人欺騙，他們會用花言巧語誘騙這些員工透露公司的信息或者能夠接入重要系統(tǒng)和資料數據的用戶名和密碼。教這些員工基本的職業(yè)訣竅以防止他們被騙。

應對突發(fā)事件

如果一個員工感到有些東西可疑或認為出現了漏洞，教給他們應對這些突發(fā)事件的程序。讓他們知道該去找誰和怎么找。

美國國家標準與技術研究院發(fā)行了本極好的刊物，SP-800-50，上面提供了該如何策劃安全意識培訓的模版和指導。這份70頁的文件有免費的PDF版可以在研究院的網站上找到。

內部培訓、外部培訓或網絡培訓

傳統(tǒng)上，有三種途徑策劃安全意識培訓：在公司內部尋找培訓人員和培訓部門，聘請外部培訓公司或者依托網絡、電腦進行培訓。任何一種方案都會超出中小型企業(yè)的財力資源。

如此，能滿足中小型企業(yè)想要提高員工信息安全意識到正常標準的途徑是什么呢?有在傳統(tǒng)三個方法的基礎上加以少許改動的兩條途徑。中小型企業(yè)可以仍然可以使用內部資源進行范圍性培訓或者購買網絡、電腦的培訓程序。另外，中小型企業(yè)還可以創(chuàng)造性的在辦公室張貼些成本低的彩色安全意識海報對員工潛移默化。

如果你的信息技術部門能提供一兩個人策劃培訓，一個內部特制的計劃也是可行的。按照NIST的指導方針或其他材料，策劃一天或半天的課程就足以使讓員工認識到有關電腦安全的幾點重要問題。

也有很多價格合理面向中小型企業(yè)的基于網絡和電腦的培訓。

Glenelg，Md的一家Native Intelligence公司出臺了一個有趣的培訓計劃。這家公司提供網絡培訓，帶有安全小提示的通訊和海報。所有材料都能夠定制并印上你們公司的標識。Native Intelligence公司也對材料定期升級。這個程序能夠指導誰完成了培訓，以保證每個公司員工都真正接受了需要的安全培訓。

UK-based Easy i公司提供相似的網絡培訓，他們可以定制培訓以適應個別公司的需求。他們同樣提供不需要定制的產品。The Security Awareness公司提供網絡培訓、視頻教育、實況指導、角色扮演和仿真游戲。

最新奇的途徑來自于國家安全研究院的"安全意識"。它以HTML格式向用戶發(fā)送帶有安全信息的電子郵件和會直接彈到員工桌面的彈出窗口。它宣傳自己是最便宜的，培訓五千名員工只需每年995美元。

不管你選擇哪個計劃，請確保它確實適合你的需求并能檢驗員工學習并完成了課程。通過這些途徑，一個中小型企業(yè)就能達到安全意識培訓的規(guī)格標準。(techtarget)