在今天中国企业内部信息安全培训的课程和频次,是远远不够的,远远达不到信息安全管理的要求。很多企业仅仅进行了年度例行性的信息安全意识培训,信息安全岗前培训,以及重要项目特殊信息安全要求培训。当然能够完完整整的把这三类培训做好的企业,最起码就已经在信息安全培训这方面超过了绝大多数的企业,已经可以基本符合ISO/IEC 27001认证要求和客户的审核要求了。
另外对于信息安全培训教材的准备方面,很多企业往往是没有思路,经常利用来自网络和其他渠道的资料,然后把教材东拼西凑起来。
出现这些情形,最根本的原因,一是对于信息安全管理的认知不足,二是没有成熟的信息安全管理培训体系可以借鉴。
那我们该如何来建立信息安全管理的培训体系呢?既然这方面暂时没有成熟的培训体系,我们是否可以借鉴其他方面的培训体系,来建立信息安全管理的培训体系呢?
目前中国信息安全相关的法规和标准,虽然有提到培训的要求,但并没有相关细则。但我们可以发现,比如生产安全,这方面在中国有比较系统化的法规要求和培训纲领等。因此,对于信息安全管理培训体系的建立,我们就可以参照生产安全的培训体系,在企业各层级和相关职能上建立信息安全培训要求。
在国家安全生产监督管理总局(原国家安全生产监督管理局)颁布的《生产经营单位安全培训规定(2015修正)》中,有明确规定生产经营单位主要负责人、生产经营单位安全生产管理人员、以及生产经营单位从业人员安全培训的内容及培训课时要求,如:
第七条 生产经营单位主要负责人安全培训应当包括下列内容:
(一)国家安全生产方针、政策和有关安全生产的法律、法规、规章及标准;
(二)安全生产管理基本知识、安全生产技术、安全生产专业知识;
(三)重大危险源管理、重大事故防范、应急管理和救援组织以及事故调查处理的有关规定;
(四)职业危害及其预防措施;
(五)国内外先进的安全生产管理经验;
(六)典型事故和应急救援案例分析;
(七)其他需要培训的内容。
第八条 生产经营单位安全生产管理人员安全培训应当包括下列内容:
(一)国家安全生产方针、政策和有关安全生产的法律、法规、规章及标准;
(二)安全生产管理、安全生产技术、职业卫生等知识;
(三)伤亡事故统计、报告及职业危害的调查处理方法;
(四)应急管理、应急预案编制以及应急处置的内容和要求;
(五)国内外先进的安全生产管理经验;
(六)典型事故和应急救援案例分析;
(七)其他需要培训的内容。
第十四条 厂(矿)级岗前安全培训内容应当包括:
(一)本单位安全生产情况及安全生产基本知识;
(二)本单位安全生产规章制度和劳动纪律;
(三)从业人员安全生产权利和义务;
(四)有关事故案例等。
煤矿、非煤矿山、危险化学品、烟花爆竹、金属冶炼等生产经营单位厂(矿)级安全培训除包括上述内容外,应当增加事故应急救援、事故应急预案演练及防范措施等内容。
第十五条 车间(工段、区、队)级岗前安全培训内容应当包括:
(一) 工作环境及危险因素;
(二) 所从事工种可能遭受的职业伤害和伤亡事故;
(三) 所从事工种的安全职责、操作技能及强制性标准;
(四)自救互救、急救方法、疏散和现场紧急情况的处理;
(五)安全设备设施、个人防护用品的使用和维护;
(六)本车间(工段、区、队)安全生产状况及规章制度;
(七)预防事故和职业危害的措施及应注意的安全事项;
(八)有关事故案例;
(九)其他需要培训的内容。
第十六条 班组级岗前安全培训内容应当包括:
(一)岗位安全操作规程;
(二)岗位之间工作衔接配合的安全与职业卫生事项;
(三)有关事故案例;
(四)其他需要培训的内容。
另外,政府相关生产安全监管机构也会发布相应的安全培训纲领,如:
民爆生产企业安全管理人员安全培训内容和学时安排表
项 目 | 培 训 内 容 | 学时 |
安全管理法律 法规知识 (共10学时) | 民爆安全管理有关法律、法规知识 | 8 |
典型案例分析与讨论 | 2 | |
安全管理 基础知识 (共20学时) | 安全科学基本原理 | 2 |
安全管理基本要求 | 2 | |
安全生产标准化 | 4 | |
重大危险源管理 | 2 | |
事故应急救援预案 | 2 | |
隐患排查和风险分级管控 | 4 | |
相关安全评价 | 2 | |
事故管理 | 2 | |
安全技术 基础知识 (共18学时) | 炸药的燃烧与爆炸知识 | 6 |
民爆产品的基本特性、安全性能 | 3 | |
民爆生产技术安全 | 6 | |
案例分析与讨论 | 3 | |
合计 | 48 | |
再培训部分 (共16学时) | 新近颁布的民爆管理相关法律法规、规章标准和政策要求 | 4 |
安全生产技术与管理新知识 | 4 | |
民爆新技术、新工艺、新材料、新设备与安全 | 2 | |
最近民爆行业发生的典型事故案例分析 | 4 | |
本单位安全生产情况回顾与总结(讨论) | 2 | |
合计 | 16 |
因此,我们可以借鉴以上生产安全的培训内容,建立企业内部信息安全管理培训体系。思路大致如下:
(一)在企业不同层级上,如集团层级、分子公司层级、部门层级、班组层级等,建立信息安全培训要求。各层级信息安全培训要求,参照以上生产安全培训要求的范例,明确具体培训课程,培训内容和培训课时,以及培训频率等;
(二)在企业不同职能方面,如企业主要负责人、企业信息安全负责人、企业信息安全管理人员、企业信息安全关键岗位人员、重要保密项目人员等,建立信息安全培训要求。各职能方面的信息安全培训要求,也可以参照以上生产安全培训要求的范例,明确具体培训课程,培训内容和培训课时,以及培训频率等。
在建立信息安全管理的培训体系时,也可以参照美国NIST《NIST.SP.800-50r1 Building a Cybersecurity and Privacy Learning Program》这个标准,该标准涵盖了网络安全和隐私学习项目的计划和战略、分析和设计、开发和实施、评价和改进等内容。该标准英文版下载地址:https://bbs.27001.cn/177-1-1.shtml 。
另外,后面也可以参考《ISO/IEC AWI TR 27109 网络安全教育和培训》这个标准,目标该标准暂处于开发之中。
对于信息安全管理培训体系建立和实施具体细则,后续会在此网址https://video.27001.cn/course-4.html 进行直播讲解,也会在视频号(27001.CN)进行专题直播讨论。
欢迎光临 27001社区 (https://bbs.27001.cn/) | Powered by Discuz! X3.5 |