意识培训是一个持续的、有一定强度的、潜移默化春风化雨般逐渐渗透的过程。
一、几点原则
为确保培训的效果的,使的培训对象知道怎么做、如何做,需要注意以下几点:
1、区分不同类型受众
不同类型的受众,培训时侧重点和关注点有所不同。例如:
- 针对一线同学可以就具体工作中的一些场景案例切入;
- 针对管理层可以从法律法规、业务运行风险等角度切入;
- 针对技术同学(研发、运维、架构等)可以从编码/研发规范、部署运维、安全架构、威胁建模等方面着重展开培训;
- 针对非技术同学,场景/案例可以更普适一些针对员工的安全意识来展开,例如工作中常见的钓鱼邮件、勒索邮件;
2、多渠道、多形式、多场景持续输入
- 线下:线下(入职)培训、沙龙/分享、安全周/安全月、各种物料(楼道/卫生间/电子屏等 海报、易拉宝、宣传视频…)
- 线上:线上(入职)培训、沙龙/分享、安全周/安全月、安全考试、公众号/视频号/内网渠道 安全知识/安全产品/软文推广
3、效果可量化
为提高参与的积极性和培训效果,可将安全培训/安全考试和员工绩效挂钩,例如线上/线下出勤率、课程完成率、考试通过率等,甚至将安全漏洞/安全事件数据和员工晋升流程打通(该员工在参与本年度晋升时酌情考虑安全相关的因素)
4、反馈机制和渠道
二、安全内容来自哪里
1、基础的安全知识、公司安全规范/安全制度
2、针对近期发生的案例的解析科普以及预警,如:钓鱼攻击、勒索病毒、供应链攻击等
3、针对业务部门提出的培训需求具体分析