Innholdsfortegnelse:
- Tilstrekkelige nivåer av bevissthet, trening og opplæring som kreves innen organisasjonen
- Periodiske vurderinger for innholdsrelevans
Video: Robert Knudsen, sikkerhetsarkitekt i NAV IT presenterer "Referansearkitektur Sikkerhet" 2024
Kandidateksamen for sertifisert informasjonssystemer (CISSP) skal være kjent med verktøyene og målene for sikkerhetsbevissthet, opplæring og utdanningsprogrammer.
Tilstrekkelige nivåer av bevissthet, trening og opplæring som kreves innen organisasjonen
Sikkerhetsbevissthet er en ofte oversett faktor i et informasjonssikkerhetsprogram. Selv om sikkerhet er fokus for sikkerhetsutøvere i deres daglige funksjoner, er det ofte tatt for gitt at vanlige brukere har samme nivå av sikkerhetsbevissthet. Som et resultat kan brukere uvitende bli den svakeste lenken i et informasjonssikkerhetsprogram. Flere viktige faktorer er avgjørende for suksessen til et sikkerhetsbevissthetsprogram:
- Støttestøtte på seniornivå: Under ideelle omstendigheter er ledelsen ansett og deltar aktivt i opplæringsarbeid.
- Klar demonstrasjon av hvordan sikkerhet støtter organisasjonens forretningsmessige mål: Ansatte må forstå hvorfor sikkerhet er viktig for organisasjonen og hvordan den fordeler organisasjonen som helhet.
- Klar demonstrasjon av hvordan sikkerheten påvirker alle enkeltpersoner og deres jobbfunksjoner: Bevisprogrammet må være relevant for alle, slik at alle forstår at "sikkerhet er alles ansvar. "
- Med hensyn til publikums c kontinuerlig nivå av opplæring og forståelse av sikkerhetsprinsipper: Opplæring som er for grunnleggende vil bli ignorert; trening som er for teknisk, vil ikke bli forstått.
- Handling og oppfølging: En glimrende presentasjon som er glemt så snart publikum går ut av rommet er ubrukelig. Finn måter å innlemme sikkerhetsinformasjonen du presenterer med daglige aktiviteter og oppfølgingsplaner.
De tre hovedkomponentene i et effektivt sikkerhetsbevissthetsprogram er et generelt bevissthetsprogram, formell opplæring og utdanning.
Bevissthet
Et generelt sikkerhetsbevissthetsprogram gir grunnleggende sikkerhetsinformasjon og sikrer at alle forstår viktigheten av sikkerhet. Bevissthetsprogrammer kan omfatte følgende elementer:
- Indoktrinering og orientering: Nyansatte og entreprenører skal få grunnleggende indoktrinering og orientering. Under indoktrinering kan de motta en kopi av bedriftens informasjonssikkerhetspolicy, være pålagt å anerkjenne og signere akseptable brukserklæringer og ikke-avslørende avtaler, og møte umiddelbare veiledere og relevante medlemmer av sikkerhets- og IT-ansatte.
- Presentasjoner: Foredrag, video presentasjoner og interaktiv datastyrt opplæring (CBT) er gode verktøy for å formidle sikkerhetstrening og informasjon. Ansattes bonuser og ytelsesvurderinger er noen ganger knyttet til deltakelse i disse typer sikkerhetsbevissthetsprogrammer.
- Trykte materialer: Sikkerhetsplakater, nyhetsbrev for nyhetsbrev og periodiske bulletiner er nyttige for å formidle grunnleggende informasjon som sikkerhetstips og fremme bevissthet om sikkerhet.
Trening
Formelle treningsprogrammer gir mer grundig informasjon enn et bevissthetsprogram og kan fokusere på spesifikke sikkerhetsrelaterte ferdigheter eller oppgaver. Slike opplæringsprogrammer kan omfatte
- Opplæring i klasserom: Instruktørledet eller annen formelt underlatt opplæring, muligens på bedriftens hovedkontor eller et treningssted for virksomheten
- Selvstudier: Vanligvis nettbasert opplæring hvor studenter kan fortsette i sitt eget tempo
- Opplæring på jobb: Kan inkludere en-til-en-veiledning med en jevnlig eller umiddelbar veileder
- Teknisk eller leverandøropplæring: Opplæring på et bestemt produkt eller teknologi levert av en tredjepart
- Lærlingskompetanse eller kvalifikasjonsprogrammer: Formell prøvelsesstatus eller kvalifikasjonsstandarder som må tilfredsstilles fullstendig innen en angitt tidsperiode
Utdanning
Et utdanningsprogram gir Det dypeste nivået av sikkerhetstrening, med fokus på underliggende prinsipper, metodikker og konsepter.
Et utdanningsprogram kan inneholde
- Videreutdanningskrav: Videreutdanningsenheter (CEUer) blir stadig populære for å opprettholde teknisk eller profesjonell sertifisering på høyt nivå, som CISSP eller Cisco Certified Internetworking Expert (CCIE).
- Sertifikatprogrammer: Mange høyskoler og universiteter tilbyr voksenopplæringsprogrammer som har klasser om aktuelle og relevante fag for fagfolk.
- Formell utdanning eller gradskrav: Mange bedrifter tilbyr undervisningsstøtte eller stipend for ansatte som er innkrevet i klasser som er relevante for yrket.
Periodiske vurderinger for innholdsrelevans
Gratulerer! Du har valgt et yrke som stadig og raskt endrer seg! Som sådan må sikkerhetsopplærings-, opplærings- og bevissthetsprogrammer hele tiden bli gjennomgått og oppdatert for å sikre at de forblir relevante, og for å sikre at din egen kunnskap om nåværende sikkerhetskonsepter, trender og teknologier forblir nåværende. Vi foreslår at innholdet i sikkerhetsopplæringsprogrammer undersøkes minst en gang per år for å sikre at det ikke blir nevnt foreldet eller pensjonert teknologi eller systemer, og at aktuelle emner er inkludert.