8、企业安全管理：意识、培训与功能管理

企业安全管理：意识、培训与功能管理

1. 安全意识、教育与培训计划

1.1 意识培养

安全解决方案的成功实施需要改变用户行为，而意识培养是安全培训的先决条件。其目标是将安全置于首要位置，让用户认识到安全的重要性，并在整个组织内建立起对安全的共同理解基础。

意识培养并非仅通过课堂式练习实现，工作环境也能起到重要作用。可使用的工具包括海报、通知、时事通讯文章、屏幕保护程序、T恤、经理的动员演讲、公告、演示文稿、鼠标垫、办公用品和备忘录，以及传统的讲师指导培训课程。

用户需要意识到的问题包括避免浪费、欺诈和未经授权的活动。组织内从高级管理层到临时实习生，都应具备相同水平的安全意识。意识培养计划应与安全政策、事件处理计划、业务连续性和灾难恢复程序相结合，且要保持新颖、有创意并经常更新，同时考虑企业文化对安全的影响。

1.2 培训实施

培训是教导员工执行工作任务并遵守安全政策。通常由组织主办，针对具有相似工作职责的员工群体。所有新员工都需要一定程度的培训，以便能够遵守安全政策规定的所有标准、指南和程序。新用户需要了解如何使用 IT 基础设施、数据存储位置以及资源分类的方式和原因。

许多组织选择在新员工获得网络访问权限之前进行培训，而其他组织则会在新员工完成特定工作岗位的培训之前给予有限访问权限。培训是一项持续的活动，贯穿组织内每个员工的整个职业生涯，属于行政安全控制措施。

为了最大化培训效益，应定期修订和改进培训方法和技术，这需要收集和评估培训指标，如学习后测试、工作一致性改进监测以及停机时间、安全事件或错误的减少情况，这可视为对培训计划有效性的评估。

1.3 教育提升