除少数例外情况,员工是根据在组织内履行职责的能力被公司雇佣。例如,一些员工拥有核心产品或服务特有的技术技能,而另一些人则拥有适合支持的技能和能力。
不论员工在公司中扮演何种角色,可以肯定的是,大多数员工在处理信息、数据和安全风险以及管理方面都没有接受过正式培训。
始终如一地保护信息、数据和系统免受网络攻击是企业面临的巨大挑战。与为了保护个人数据而定制的《通用数据保护条例》(GDPR)不同,尽管企业需求与业务连续性需求日益迫切,信息、数据和网络安全管理通常是自愿行为。
人为失误是风险的主要来源
DNV最近一项涉及隐私信息管理的调查显示,公司认为人为失误是风险的主要来源占比44.5%,其次是员工缺乏意识或组织文化不佳占比27.7%。此外,投资正从技术密集型转向更加重视员工培训和员工意识的提高。在信息、数据和网络安全管理方面也出现了类似的情况。
当人为失误和员工缺乏意识被认为是重大风险时便意味着公司往往没有进行有效的文化建设。通过实施正式的管理体系认证可以很容易地缓解这种情况。例如,每个组织都会因人员流失和新员工的雇佣而经历短暂的资源空缺。这就需要定期对新员工进行培训或加强现有员工意识。培训形式可以为线上学习、小规模培训或针对所有参与数据管理的员工进行大规模培训。
IT安全投资仍然是必不可少的。然而,由于个人日益成为潜在的信息安全薄弱点,任何信息安全方法都需要把个人作为核心。
体系驱动值得信赖的方法
为确保所有员工都可以接受保护组织信息安全的培训,同时又不分散日常工作的注意力,就需要对员工进行结构化的培训安排。通过基于国际信息安全体系标准ISO/IEC 27001中的最佳实践的管理体系模式可以满足此需求。ISO/IEC 27001规定了定期培训和提高认识的具体要求,以确保整个组织保持一致。这将提升员工参与度,并使员工能够思考“信息安全”方面内容,帮助员工更好地管理与风险或与为威胁相关的“不确定性”。经验表明,实施管理体系有助于组织建立和改善安全文。
除员工培训外,其他方面也在发挥作用。培训时必须有经过适当培训的内部主题专家在场,他们是员工提出需求或疑问时的主要协调员。对于高级管理人员来说,展示承诺并表明每个人都应遵守相同的规则也很重要。否则,员工会对为什么期望他们保持警惕,而组织领导人却可以获得豁免产生疑惑。
随着信息、数据和网络攻击的商业成本不断上升,很少有组织能够忽略对培训的投资。在提高能力方面投资始终是建设性的方法,而且将带来巨大收益。将培训与实施ISO/IEC 27001认证的信息管理体系相结合,便可以提供一个更加强大、更具弹性和更加可靠的方法。