集团型企业经常会遇到:
n “在和运营商的交流、讲标中,会议后发现竞争对手利用酒店人员将录音设备安装在会议现场,造成技术机密和商业机密被对手掌握。员工事先没有意识检查会场。”
n “IT部门发现有人通过电子邮件将招投标和技术解决方案发给不明厂商。”
n “有员工发现同部门或其他部门出现安全事故的时候,靠感觉去决定处理流程。”
n “公司的临时工只有劳务协议,但是临时工同样可以接触到公司的部分核心机密。
人员安全包括安全工作实施,安全培训和安全事故响应流程。人员安全应关注于工作责任的定义和单个雇员的监控。
汇哲总结:
n 员工安全培训少,只有特定的职位有培训。员工没有普遍的安全意识,安全技能严重不足。
n 新员工需签保密协议。公司有职位和角色的定义,对违反规定有处理措施。总的来说,公司有不完善的安全制度,但无细化到可执行的文件。没有处理流程 ,只根据突发事件处理。
n 职务说明书内没有明确岗位的安全职责,岗位的安全级别简单与行政级别挂钩。不利于员工的自觉遵守。
-----摘自某集团型企业信息安全现状分析
信息安全培训长期被集团型企业认为是“重要不紧急的”,如何将培训提升为企业“重要紧急的”,需要解决:
高级管理层的困惑:员工信息安全知识水平跟不上公司发展需要,严重影响公司业务正常运行;业务部门、技术部门、人力资源部每年制订各种信息安全培训计划,信息安全培训规划思路凌乱,缺乏系统性;公司花费大量资金和宝贵时间举办培训课程用于提高员工信息安全素质,结果:培训经费年年递增,公司白花钱,组织者空耗精力,只提高了培训覆盖率,培训效果不明显,问题到底出在哪儿……
人力资源部的苦恼:信息安全培训课程少,层次低,一般在业务或技术部门内部进行,没能在公司级或部门间进行资源整合;信息安全培训内容不全面,集中在产品、操作技能培训,缺乏系统性,没有与员工职业生涯规划相结合;信息安全培训运营制度体系不完善,没有对信息安全培训从项目策划、课程开发、师资选拔、效果评估全过程形成闭环管理……
业务部门和技术部门的疑问:信息安全培训以人力资源部门推动为主,没有与业务和技术部门的需求紧密结合;信息安全培训课程新瓶装旧酒,没有创新和改变,培训内容和质量不能跟上业务和技术发展的需要;信息安全培训没有验收,每次都像走过场,越来越流于形式……
员工的抱怨:信息安全培训内容单薄, “木桶短板” 讲了好几年,枯燥乏味;信息安全培训形式,填鸭式教学,照本宣科,学习积极性不高;信息安全培训课程体系缺乏针对性,对实际工作指导性不强……
目前大多数集团型企业已经开展信息安全培训,遇到的相同问题---效果不理想,主要原因是信息安全培训内容不能符合企业、岗位及员工的具体需求,缺乏有效的信息安全培训课程体系,不能适应信息安全培训长期发展的要求。信息安全培训课程体系建设对信息安全培训项目的实施具有指导性、引领性,如何构建合理有效的、符合集团型企业、岗位以及员工个人发展需求的信息安全培训课程已经列入集团型企业信息安全培训管理者的工作日程。
一.基于胜任力模型构建信息安全培训课程体系特点
培训与发展是胜任力模型最核心的作用之一,胜任力模型是企业设计信息安全培训课程体系的重要依据。基于胜任力的信息安全培训课程体系分析,以公司人力资源战略规划为指导, 以岗位胜任力模型为基础,以系统、持续地提升队伍信息安全管理素质和能力水平为目标,构建较为系统、科学的信息安全培训课程体系。
基于胜任力模型构建的信息安全培训课程体系,具有以下特点:
(1)基于岗位胜任力模型的信息安全培训课程体系使信息安全培训更具有战略导向性
企业信息安全培训课程的设置,必须按照公司发展战略纲要及人才队伍建设要求,围绕集团型企业中心工作,以各单位和集团各部门的信息安全管理需求为基础,同时考虑个人职业发展规划与集团型企业信息安全管理战略目标的融合。只有根据企业信息安全管理战略规划,结合人力资源发展战略,才能量身定做出符合本企业持续发展的有效信息安全课程体系。岗位胜任力模型的建构对组织环境、组织变量、优秀员工与绩效相关的关键胜任特征进行分析,因此,基于岗位胜任力的信息安全培训课程体系,使个人职业发展规划与公司信息安全管理战略目标相融合,具有战略导向性。
(2)基于岗位胜任力模型的培训课程体系使员工培训更具有时效性和针对性
基于胜任力模型的信息安全培训课程体系,依据所建构的胜任力模型为标准,针对每一职业发展阶段所需要的关键性胜任特征来开展信息安全培训工作,可以使信息安全培训更具针对性。同时,充分考虑员工目前的绩效现状,针对不同的绩效水平、个人能力和发展计划制定不同的信息安全培训课程计划,使课程序列的安排具有循序渐进性,并遵循由浅入深的原则,具有一定的时效性。
(3)基于岗位胜任力模型的信息安全培训课程体系使员工培训更具有超前性和递进性
企业信息安全培训是为企业发展服务的,培训要满足企业在人力方面对信息安全的需求。市场环境瞬息万变,但是培训人才有其自身规律,也有一定的周期。基于岗位胜任力的培训课程,从员工个体发展的需求出发,针对不同职位的不同层级设置具体的信息安全培训课程体系,满足了员工职业生涯的持续性发展需求,具有一定的超前性和递进性。
二.基于胜任力的信息安全培训课程体系建设步骤
与传统基于岗位的培训体系不同,基于胜任力的信息安全课程体系依照胜任力模型的要求,对成员承担特定职位所需的信息安全关键胜任力进行分析,确定个体和组织整体胜任力水平,根据差距确定员工的培训课程体系,进而提高人力资源对组织信息安全战略的支持。具体步骤如下:
(1)建立静态岗位信息安全胜任力模型
胜任力是一个复杂而颇具争议的概念。1973年著名心理学家、哈佛大学教授McClelland最早提出了“competencY” 的概念。目前公认的观点认为胜任力是指和绩效指标存在因果关系的个人潜在特征,它能够可靠有效地将某一工作(组织、文化)中表现优异者与表现一般者区分开来。胜任力模型(Competency Mode1)是指为完成某项工作,达成某一绩效目标所具备的一系列不同胜任力要素的组合,包括不同的动机表现、个性与品质要求、自我形象与社会角色特征以及知识与技能水平。对于个人和组织而言,这些胜任力被认为是长远的更为重要的因素。
在进行基于胜任力的信息安全培训需求分析时,首先,要明确分析目的。人力资源部门需要了解企业总体信息安全培训规划和信息安全胜任力结构特征。其次,不同层次、不同岗位信息安全培训需求分析应采用不同水平的信息安全胜任力结构。在确定信息安全胜任力结构时,应结合基于研究、战略和企业文化价值的三种思路。运用头脑风暴法进行集思广益,并采用360度评价确定最后的信息安全胜任力结构。另外,对组织变量、环境、技术等因素的考虑不可或缺。这样,最终的信息安全胜任力结构就比较具体,并具有明确的针对性,可以保证信息安全培训需求分析更为准确有效。
静态岗位信息安全胜任力模型,根据组织架构说明书和岗位说明书,对员工信息安全能力进行不同层次的定义以及相应层次的行为描述,确定达到岗位信息安全对应层次的要求,应该具备的信息安全核心能力、技术能力以及完成特定工作所需求的熟练程度。静态岗位信息安全胜任力模型包括一个人在其职务角色、组织内及其内部与外在环境中的责任与关系上,达成令人满意或楷模绩效所需要的信息安全胜任力。
构建静态岗位信息安全胜任力,可以从以下几个方面着手:
首先系统研究企业未来发展战略,通过与领导层访谈获得企业对信息安全的实际需求,并从企业实际情况出发,将员工按管理职位、专业职位的不同,划分不同的等级,分析企业战略对各级各层岗位人员信息安全方面的要求。
其次,分析各岗位职责要求,深入研究确定各岗位胜任本职岗位需具备的信息安全胜任力(包括态度、技能、知识)。根据岗位的具体要求,对从事该岗位工作的员工进行分析研究,综合运用行为事件访谈法、专家小组讨论法、问卷调查法,分别从高绩效和绩效普通的员工中随机抽取一定数量的骨干和专家,具体表述工作中最成功和最不成功的具体案例,对访谈集进行深入分析、技术处理、统计整合,最终抽象提炼出不同岗位的胜任力要素的行为特征。而后,通过对国际一流公司同岗位同职责人员的信息安全能力分析,寻找出国际一流公司同岗位人员具备的信息安全胜任能力。
第三步,在深入研究分析上述资料的基础上,归纳各胜任要素的典型行为特征,并分别描述出不同等级的行为特征,实现信息安全胜任力模型从抽象概念到具体行为的重要转变。另外,对资料进行整理、归类、分级,形成对行为特征的情景素材支持,使信息安全胜任力模型成为形象的、可衡量的行为事件素材,最终建立起满足公司科学发展所需的岗位信息安全胜任力模型。
(2)构建每个岗位的静态信息安全培训课程体系
信息安全课程体系是信息安全培训体系的子系统,是企业为达到信息安全培训目标可以提供的课程资源,以满足所对应的一切信息安全培训需求,包括:课程架构、课程内容、课程形式和课程安排等。基于岗位信息安全胜任力的培训课程体系是长期的、系统的有计划的课程体系,逐步发展员工的技能,使员工能够应付个人在组织发展过程的每个阶段,主动的课程体系是适应性强的,包含了适应未来的培训需求。
静态的信息安全培训课程体系,是指针对岗位信息安全需求,达到岗位信息安全胜任能力必须掌握的课程内容,是与岗位同时存在的,针对岗位信息安全需求而产生的,表现为组织层面和岗位层面的信息安全课程体系。如何建立静态的培训课程体系,从以下几个方面入手:
首先,逐层分解每个岗位信息安全胜任能力,细分获得二级乃至三级能力项,在此基础上,深入剖析各胜任要素的内涵、外延、行为特征、行为案例素材,将之分解为不可再分的“最小单元知识点”,这样,一个信息安全胜任能力可能分解成多个最小单元知识点。其次,对最小单元知识点进行汇总、归类、合并、归纳、总结提炼。结合各岗位在各要素上的侧重点差异,分别设计对应的课程目录,最终完成基于胜任力模型的静态信息安全培训课程体系。
第二,对每个课程的内容进行设计和定义,制作《课程描述》文件, 内容包括:课程名称、培训主题、课程目标、课程内容、培训对象、培训方式、课程实施建议等。
第三,课程分层分类,依据不同发展阶段上的员工特点和需要,对课程进行合理的分布与组合,梳理课程间的逻辑关系,形成分层、分类的信息安全课程体系。
基于胜任力模型开发的信息安全培训课程体系,设定了每一职业发展阶段所需要的信息安全技能培训和专业培训,建构了每个具体岗位明确的信息安全课程方案,使信息安全培训课程的针对性和体系化更强。静态的信息安全课程体系展现的是一张完整学习地图,给出了一名员工从新人入职到高级经理的完整学习路线图,体现了战略性的信息安全人力资源开发。
(3)分析员工动态的岗位信息安全胜任力模型,确定动态信息安全培训课程体系
静态的信息安全培训课程体系是在基于岗位信息安全胜任力的基础上进行开发和设计,动态的信息安全培训课程体系与员工动态的岗位信息安全胜任力需求相对应,是指具体员工到了指定岗位后,该员工现有能力与其岗位信息安全胜任能力之间的差距,根据此差距,确定需要开设的信息安全培训的课程体系。此信息安全课程体系是针对员工的具体信息安全需求产生的,为员工个人层面的信息安全培训课程体系制定动态的信息安全培训课程体系,首先要确定员工动态岗位信息安全胜任力。胜任力模型明确地界定了员工具备高绩效信息安全所必需的行为特征,帮助员工了解自己的信息安全胜任力水平和改进点。因此,信息安全胜任力模型建立起来以后,要组织调查小组进行广泛深入的调查研究,对员工目前的岗位信息安全胜任能力进行测评,即对目前在岗人员按照岗位信息安全胜任力模型进行个人胜任特征的测评,以确定各级各类在岗人员的信息安全胜任程度,即建构员工的动态岗位信息安全胜任力模型。通过对现有任职人员的信息安全胜任能力评估, 发现每一个个体的能力优势和弱项, 以及确定各级各类人才能力现状与胜任能力模型的差距,绘制各级各类人才信息安全能力缺口图。
其次,并以员工动态信息安全胜任力模型为出发点,确定具体信息安全培训需求。基于岗位信息安全胜任力模型来分析信息安全培训需求,可以更好地提高信息安全培训需求分析与组织战略目标的一致性,避免盲目培训带来消极后果。
培训需求=目标工作绩效(静态岗位信息安全胜任力模型)一实际工作绩效(动态岗位信息安全胜任力模型)
在这一公式中, 目标工作绩效是指完成岗位职责应该达到的信息安全胜任力水平,即静态的信息安全岗位胜任力模型;实际工作绩效是指经过测量得出的信息安全工作绩效,即经过胜任力评估所得到的员工信息安全胜任力的实际水平,也就是员工动态岗位信息安全胜任力模型。通过培训取得的效果要弥补此两者之差。基于岗位信息安全胜任力模型,可以更加有效的根据差距找出员工信息安全培训需求,更加有效地、针对性地制定员工信息安全培训课程体系。
第三,根据员工动态的信息安全胜任力模型,分析信息安全能力差距产生原因
对每一项信息安全能力项目的现状与其期望值之间的差距进行认真分析,确定差距是由于员工自身的知识、技能方面存在的问题,列出信息安全能力差距清单,以此确定被培训者现有能力与能力模型要求不匹配所需要的培训。据此,根据岗位胜任力模型要求的静态的信息安全课程体系,针对目前员工岗位胜任力差距,有针对性地制定具体信息安全培养发展计划,提供具体化信息安全培训课程。
基于胜任力模型构建信息安全培训课程体系,覆盖企业全体员工,使每位员工在每个岗位都能及时地接受到合适的培训,从而具备与各个岗位相匹配的基本能力和基本素养。随着员工职业发展阶段的变化、岗位变迁,都会导致岗位信息安全胜任力的变化。因此,员工的信息安全培训课程体系构建是一个动态变化的过程,是一个循环的过程。
三.汇哲科技:集团型企业信息安全人才培训解决方案
随着信息技术不断发展,信息安全问题逐渐突出,集团型企业信息安全问题日益复杂。信息安全事件不但冲击企业整体营运,削弱企业的竞争力,甚至造成经济上的重大损失,影响公司形象,触犯国家法律法规。对于集团型企业信息资产,信息系统安全运行、甚至研发人员,都是竞争者图谋的对象。如果集团型企业因缺乏适当的信息安全管理和专业信息安全队伍,很容易发生知识产权被盗、核心资料外泄、资深研发人员被挖角、信息系统瘫痪或受到攻击等信息安全事件,严重影响企业竞争力,甚至造成企业经济重大损失。随着信息安全形势严峻,信息安全从业人员将变得越来越有价值,掌握国际与国内先进的信息安全最佳实践、学习最新的信息安全技术、管理知识,符合国内外信息安全标准与法律法规是未来信息安全从业人员的基本要求,具备一支信息化专业人才队伍也是集团型企业发展中的必然要求。
集团型企业信息安全人才培养规划的意义?
信息安全专业是一门新的专业科学领域,人才的缺乏是此专业的快速发展中面临的主要问题之一;同时信息安全涉及面广,对于信息安全专才的要求也很高;集团型企业缺乏对信息安全专业人才的定义,缺乏对信息安全专业人才能力的具体要求和指标,特别是不同行业信息安全人才的衡量标准。
集团型企业信息安全人才应该是?
走专家路线,是信息安全人才和信息安全建设的必经之路;信息安全,三分靠技术,七分靠管理,集团型企业信息安全人才培养计划应该是走出一条打破传统培训或学习方式的,依据信息安全特点的信息安全人才培训课程体系,不但需要依靠专业的技术和设备,更需要有专业的人才来增强信息安全建设和管理。集团型企业信息安全人才应该需要有广泛的专业知识和较强的动手能力,集团型企业信息安全人才既要满足信息安全理论的要求,更要符合集团型企业信息安全人才日常工作要求。集团型企业信息安全人才是可以统揽信息安全全局的人,是可以从技术和管理视角去看待信息安全建设和信息安全事件的人才;信息安全人才是同时具有业务视角和安全敏感的人才;信息安全人才是具有某一管理特长或者技术特长的人才。集团型企业信息安全人才不是信息安全全才;集团型企业信息安全人才不一定是解决问题的人,而是可以找到解决方法的人;集团型企业信息安全人才不是维护和管理应用系统特定故障的人。
集团型企业信息安全人才培养规划如何来做?
(1)集团型企业信息安全人才培训需求现状调研:培训之初将通过调查问卷的方式对学员进行全面的现状调研,了解参加培训学员现状、并针对调研后的结果在设计符合企业目前需要的课程。
(2)集团型企业信息安全人才培训方法的设计:根据调研结果分析学员接受能力以:“课堂授课、技术演练、沙盘实践、技能竟赛、企业参观”等为主体,设计一套符合集团型企业信息安全人才的授课方法。
(3)集团型企业信息安全人才培训课程体系初设计:针对培训需求现状调研后的结果、设计出整体的培训课程。
(4)集团型企业信息安全人才工作分析调查问卷:根设计企业信息安全工作分析调查问卷,对涉及信息安全的人员进行调研。
(5)集团型企业信息安全人才职位职责体系:职责定义修正电话访谈;通过安全专才计划完成的职责定义问卷的调研,在总结问卷反馈结果的基础上,与部分安全专职人员进行面对面访谈之后,对职责做一定的修改,并通过电话的方式与领导进一步沟通,明确专才的职责之后,进一步推动技能要求和培训要求等工作。
(6)集团型企业信息安全人才核心能力库设计:从信息安全规划、管理和技术(解决方案和产品)等方面对信息安全专才提出具体要求。能力库主要依据集团型企业信息安全人才已有的信息安全管理制度中信息安全相关岗位所负责的主要工作,从安全理论、保障体系、管理维护、风险评估、安全审计、问题分析与解决等多个方面对能力进行设计。
(7)集团型企业信息安全人才核心技能点分析调查问卷:集团型企业信息安全人才核心能力通过问卷反馈,电话访谈,会议讨论多种形式,最终将核心能力定为大类安全能力,由于同一能力可能要求的层级不同,并根据集团型企业的核心能力修正为几个不同等级。
例:安全等级分为安全类能力等级和安全点能力等级:A级:指导级:对于对应的安全能力具有深厚的理论基础、精湛的技能和丰富的实践经验,可以向他人传授,讲解,解惑此领域的知识和问题,可以指导他人开展此领域的安全工作,可以指导他人解决此领域的安全问题。B级:实施级,对于对应的安全能力具有深刻的认识、具有实践经验,具有较强的解决问题的能力,可以独立承担此领域的工作,可以独立解决此领域的安全问题C级:协助级,具备本领域的知识,有一定的实践的经验,在他人指导下或者有参考案例下可以完成本领域的工作,可以协助解决此领域的安全问题。
安全点为每个安全类下的细化后的知识点和技能点:根据《信息安全专家核心能力库》原型及《集团型企业信息安全人才工作分析调查问卷》结果设计《安全技术专家核心能力库对应模型》,通过将安全核心能力与安全专才主要岗位职责进行匹配,了解各职责对安全的能力需求关系,并通过该关系最终获得信息安全专才课程设计。
(8)集团型企业信息安全人才课程设计与修正
通过电话访谈、现场会议、邮件沟通的方式,根据移动领导的要求,对课程设计模型进行了相应的修正。将课程与角色的对应关系修正为课程与部门的对应关系,更方便不同的部门对课程的有效选择。 修正部分部门工作涉及的安全知识域。课程设计中所述安全职责仅用于说明部门所属工作人员在工作中可能遇到的安全域知识的类别,并将该知识域与课程设计中的具体课程进行关联,从而向该部门员工推荐该知识域课程。
由于部门的工作相互关联的内容较多,因此在课程设计中访谈部门成员,了解其工作中需要的安全领域,并归纳为部门安全职责知识域定义,最后通过核心能力、部门、课程以及安全专家能力要求,设计整体课程。
(9)集团型企业信息安全培训管理与考核系统
通过建立安全培训管理与考核系统可以:业务部门实际的工作需要迅速的、有针对性地转化为培训需求,并对资源进行有效调配。对历史培训的纪录和资源进行有效的管理,使得大量资源能够实现共享。跟踪学员的培训纪录,从参加培训的项目、考勤、考试成绩等全面跟踪学员的信息安全素质和能力的提升过程。对培训过程中的师资、大量的培训课件和材料进行有效管理。培训结束后,将会进行相关培训内容的笔试考试和测试,目的在于提高大家的培训积极程度,并检查培训内容的接受程度和最终的培训效果。
(10)集团型企业信息安全培训知识库建立
根据整体培训的具体课程建立整套培训教材、体系资源、辅导、参考资料等综合知识库,用于培训后期企业自己组织与实施。
客户验收总结:
基于胜任力模型为集团型企业构建动态信息安全培训课程体系关注集团型企业的整体性,关注整体绩效水平和核心竞争力的提升。基于岗位信息安全胜任力,建立的信息安全课程体系通过“岗位一能力一课程”的映射将公司信息安全战略予以分解,分析得出各岗位所需的信息安全能力要求,并分别定出所需的信息安全培训课程。企业通过建立岗位信息安全胜任力模型,可以更加有效的根据差距找出员工信息安全培训需求,更加有效地、针对性地制定员工信息安全培训课程体系,促进员工关注于自己的职业发展和能力提升以实现信息安全绩效,最终实现企业和员工的双赢。
2008年至今,汇哲科技以“国际信息安全学习联盟”为基础。长年致力于信息安全培训的开发与研究,培训从当年单一的认证培训发展到目前涵盖了:精要入门,高级认证,卓越实践、三大类型;覆盖IT治理,信息安全,IT审计,业务连续性,IT服务管理,项目管理,领先理念(大数据、云计算、移动互联网、虚拟化)七大领域。同时组织并参与联合国训练研究所与上海亚太地区经济和信息化人才培训中心主办的援外培训工作;并与网络信息安全管理与服务教育部工程研究中心,上海交通大学联合办学,共同建设与管理信息安全培训中心、面向社会培养具备专业水平的信息安全专业人员,服务于政府和广大企业。2013年在“2013第十四届中国信息安全大会”通过由政府领导、学者专家组成的评委会严格评议,汇哲被授予“2013年度中国信息安全优秀培训服务商”含金量最高的奖项。