找回密码
 立即注册

信息安全管理之培训体系的建立思路

作者:27001社区 | 时间:3 天前 | 阅读:16| 显示全部楼层

在今天中国企业内部信息安全培训的课程和频次,是远远不够的,远远达不到信息安全管理的要求。很多企业仅仅进行了年度例行性的信息安全意识培训,信息安全岗前培训,以及重要项目特殊信息安全要求培训。当然能够完完整整的把这三类培训做好的企业,最起码就已经在信息安全培训这方面超过了绝大多数的企业,已经可以基本符合ISO/IEC 27001认证要求和客户的审核要求了。

另外对于信息安全培训教材的准备方面,很多企业往往是没有思路,经常利用来自网络和其他渠道的资料,然后把教材东拼西凑起来。

出现这些情形,最根本的原因,一是对于信息安全管理的认知不足,二是没有成熟的信息安全管理培训体系可以借鉴。

那我们该如何来建立信息安全管理的培训体系呢?既然这方面暂时没有成熟的培训体系,我们是否可以借鉴其他方面的培训体系,来建立信息安全管理的培训体系呢?

目前中国信息安全相关的法规和标准,虽然有提到培训的要求,但并没有相关细则。但我们可以发现,比如生产安全,这方面在中国有比较系统化的法规要求和培训纲领等。因此,对于信息安全管理培训体系的建立,我们就可以参照生产安全的培训体系,在企业各层级和相关职能上建立信息安全培训要求。

在国家安全生产监督管理总局(原国家安全生产监督管理局)颁布的《生产经营单位安全培训规定(2015修正)》中,有明确规定生产经营单位主要负责人、生产经营单位安全生产管理人员、以及生产经营单位从业人员安全培训的内容及培训课时要求,如:

 第七条 生产经营单位主要负责人安全培训应当包括下列内容:
  (一)国家安全生产方针、政策和有关安全生产的法律、法规、规章及标准;
  (二)安全生产管理基本知识、安全生产技术、安全生产专业知识;
  (三)重大危险源管理、重大事故防范、应急管理和救援组织以及事故调查处理的有关规定;
  (四)职业危害及其预防措施;
  (五)国内外先进的安全生产管理经验;
  (六)典型事故和应急救援案例分析;
  (七)其他需要培训的内容。

第八条 生产经营单位安全生产管理人员安全培训应当包括下列内容:
  (一)国家安全生产方针、政策和有关安全生产的法律、法规、规章及标准;
  (二)安全生产管理、安全生产技术、职业卫生等知识;
  (三)伤亡事故统计、报告及职业危害的调查处理方法;
  (四)应急管理、应急预案编制以及应急处置的内容和要求;
  (五)国内外先进的安全生产管理经验;
  (六)典型事故和应急救援案例分析;
  (七)其他需要培训的内容。

第十四条 厂(矿)级岗前安全培训内容应当包括:
  (一)本单位安全生产情况及安全生产基本知识;
  (二)本单位安全生产规章制度和劳动纪律;
  (三)从业人员安全生产权利和义务;
  (四)有关事故案例等。
  煤矿、非煤矿山、危险化学品、烟花爆竹、金属冶炼等生产经营单位厂(矿)级安全培训除包括上述内容外,应当增加事故应急救援、事故应急预案演练及防范措施等内容。

第十五条 车间(工段、区、队)级岗前安全培训内容应当包括:
  (一) 工作环境及危险因素;
  (二) 所从事工种可能遭受的职业伤害和伤亡事故;
  (三) 所从事工种的安全职责、操作技能及强制性标准;
  (四)自救互救、急救方法、疏散和现场紧急情况的处理;
  (五)安全设备设施、个人防护用品的使用和维护;
  (六)本车间(工段、区、队)安全生产状况及规章制度;
  (七)预防事故和职业危害的措施及应注意的安全事项;
  (八)有关事故案例;
  (九)其他需要培训的内容。

 第十六条 班组级岗前安全培训内容应当包括:
  (一)岗位安全操作规程;
  (二)岗位之间工作衔接配合的安全与职业卫生事项;
  (三)有关事故案例;
  (四)其他需要培训的内容。

另外,政府相关生产安全监管机构也会发布相应的安全培训纲领,如:

民爆生产企业安全管理人员安全培训内容和学时安排表

项 目培 训 内 容学时
安全管理法律 法规知识 (共10学时)民爆安全管理有关法律、法规知识8
典型案例分析与讨论2
安全管理 基础知识 (共20学时)安全科学基本原理2
安全管理基本要求2
安全生产标准化4
重大危险源管理2
事故应急救援预案2
隐患排查和风险分级管控4
相关安全评价2
事故管理2
安全技术 基础知识 (共18学时)炸药的燃烧与爆炸知识6
民爆产品的基本特性、安全性能3
民爆生产技术安全6
案例分析与讨论3
合计 48
再培训部分 (共16学时)新近颁布的民爆管理相关法律法规、规章标准和政策要求4
安全生产技术与管理新知识4
民爆新技术、新工艺、新材料、新设备与安全2
最近民爆行业发生的典型事故案例分析4
本单位安全生产情况回顾与总结(讨论)2
合计 16

因此,我们可以借鉴以上生产安全的培训内容,建立企业内部信息安全管理培训体系。思路大致如下:

(一)在企业不同层级上,如集团层级、分子公司层级、部门层级、班组层级等,建立信息安全培训要求。各层级信息安全培训要求,参照以上生产安全培训要求的范例,明确具体培训课程,培训内容和培训课时,以及培训频率等;

(二)在企业不同职能方面,如企业主要负责人、企业信息安全负责人、企业信息安全管理人员、企业信息安全关键岗位人员、重要保密项目人员等,建立信息安全培训要求。各职能方面的信息安全培训要求,也可以参照以上生产安全培训要求的范例,明确具体培训课程,培训内容和培训课时,以及培训频率等。

在建立信息安全管理的培训体系时,也可以参照美国NIST《NIST.SP.800-50r1 Building a Cybersecurity and Privacy Learning Program》这个标准,该标准涵盖了网络安全和隐私学习项目的计划和战略、分析和设计、开发和实施、评价和改进等内容。该标准英文版下载地址:https://bbs.27001.cn/177-1-1.shtml

另外,后面也可以参考《ISO/IEC AWI TR 27109 网络安全教育和培训》这个标准,目标该标准暂处于开发之中。

对于信息安全管理培训体系建立和实施具体细则,后续会在此网址https://video.27001.cn/course-4.html 进行直播讲解,也会在视频号(27001.CN)进行专题直播讨论。


您需要登录后才可以回帖 登录 | 立即注册