集團型企業經常會遇到:「在和運營商的交流、講標中,會議後發現競爭對手利用酒店人員將錄音設備安裝在會議現場,造成技術機密和商業機密被對手掌握。員工事先沒有意識檢查會場。」
「IT部門發現有人通過電子郵件將招投標和技術解決方案發給不明廠商。」
「有員工發現同部門或其他部門出現安全事故的時候,靠感覺去決定處理流程。」
「公司的臨時工只有勞務協議,但是臨時工同樣可以接觸到公司的部分核心機密。
人員安全包括安全工作實施,安全培訓和安全事故響應流程。人員安全應關注於工作責任的定義和單個僱員的監控。
匯哲總結:
員工安全培訓少,只有特定的職位有培訓。員工沒有普遍的安全意識,安全技能嚴重不足。
新員工需籤保密協議。公司有職位和角色的定義,對違反規定有處理措施。總的來說,公司有不完善的安全制度,但無細化到可執行的文件。沒有處理流程 ,只根據突發事件處理。
職務說明書內沒有明確崗位的安全職責,崗位的安全級別簡單與行政級別掛鈎。不利於員工的自覺遵守。
-----摘自某集團型企業信息安全現狀分析
信息安全培訓長期被集團型企業認為是「重要不緊急的」,如何將培訓提升為企業「重要緊急的」,需要解決:
高級管理層的困惑:員工信息安全知識水平跟不上公司發展需要,嚴重影響公司業務正常運行;業務部門、技術部門、人力資源部每年制訂各種信息安全培訓計劃,信息安全培訓規劃思路凌亂,缺乏系統性;公司花費大量資金和寶貴時間舉辦培訓課程用於提高員工信息安全素質,結果:培訓經費年年遞增,公司白花錢,組織者空耗精力,只提高了培訓覆蓋率,培訓效果不明顯,問題到底出在哪兒……
人力資源部的苦惱:信息安全培訓課程少,層次低,一般在業務或技術部門內部進行,沒能在公司級或部門間進行資源整合;信息安全培訓內容不全面,集中在產品、操作技能培訓,缺乏系統性,沒有與員工職業生涯規劃相結合;信息安全培訓運營制度體系不完善,沒有對信息安全培訓從項目策劃、課程開發、師資選拔、效果評估全過程形成閉環管理……
業務部門和技術部門的疑問:信息安全培訓以人力資源部門推動為主,沒有與業務和技術部門的需求緊密結合;信息安全培訓課程新瓶裝舊酒,沒有創新和改變,培訓內容和質量不能跟上業務和技術發展的需要;信息安全培訓沒有驗收,每次都像走過場,越來越流於形式……
員工的抱怨:信息安全培訓內容單薄, 「木桶短板」 講了好幾年,枯燥乏味;信息安全培訓形式,填鴨式教學,照本宣科,學習積極性不高;信息安全培訓課程體系缺乏針對性,對實際工作指導性不強……
目前大多數集團型企業已經開展信息安全培訓,遇到的相同問題——效果不理想,主要原因是信息安全培訓內容不能符合企業、崗位及員工的具體需求,缺乏有效的信息安全培訓課程體系,不能適應信息安全培訓長期發展的要求。信息安全培訓課程體系建設對信息安全培訓項目的實施具有指導性、引領性,如何構建合理有效的、符合集團型企業、崗位以及員工個人發展需求的信息安全培訓課程已經列入集團型企業信息安全培訓管理者的工作日程。
一。基於勝任力模型構建信息安全培訓課程體系特點
培訓與發展是勝任力模型最核心的作用之一,勝任力模型是企業設計信息安全培訓課程體系的重要依據。基於勝任力的信息安全培訓課程體系分析,以公司人力資源戰略規劃為指導, 以崗位勝任力模型為基礎,以系統、持續地提升隊伍信息安全管理素質和能力水平為目標,構建較為系統、科學的信息安全培訓課程體系。
基於勝任力模型構建的信息安全培訓課程體系,具有以下特點:
(1)基於崗位勝任力模型的信息安全培訓課程體系使信息安全培訓更具有戰略導向性
企業信息安全培訓課程的設置,必須按照公司發展戰略綱要及人才隊伍建設要求,圍繞集團型企業中心工作,以各單位和集團各部門的信息安全管理需求為基礎,同時考慮個人職業發展規劃與集團型企業信息安全管理戰略目標的融合。只有根據企業信息安全管理戰略規劃,結合人力資源發展戰略,才能量身定做出符合本企業持續發展的有效信息安全課程體系。崗位勝任力模型的建構對組織環境、組織變量、優秀員工與績效相關的關鍵勝任特徵進行分析,因此,基於崗位勝任力的信息安全培訓課程體系,使個人職業發展規劃與公司信息安全管理戰略目標相融合,具有戰略導向性。
(2)基於崗位勝任力模型的培訓課程體系使員工培訓更具有時效性和針對性
基於勝任力模型的信息安全培訓課程體系,依據所建構的勝任力模型為標準,針對每一職業發展階段所需要的關鍵性勝任特徵來開展信息安全培訓工作,可以使信息安全培訓更具針對性。同時,充分考慮員工目前的績效現狀,針對不同的績效水平、個人能力和發展計劃制定不同的信息安全培訓課程計劃,使課程序列的安排具有循序漸進性,並遵循由淺入深的原則,具有一定的時效性。
(3)基於崗位勝任力模型的信息安全培訓課程體系使員工培訓更具有超前性和遞進性
企業信息安全培訓是為企業發展服務的,培訓要滿足企業在人力方面對信息安全的需求。市場環境瞬息萬變,但是培訓人才有其自身規律,也有一定的周期。基於崗位勝任力的培訓課程,從員工個體發展的需求出發,針對不同職位的不同層級設置具體的信息安全培訓課程體系,滿足了員工職業生涯的持續性發展需求,具有一定的超前性和遞進性。
二。基於勝任力的信息安全培訓課程體系建設步驟
與傳統基於崗位的培訓體系不同,基於勝任力的信息安全課程體系依照勝任力模型的要求,對成員承擔特定職位所需的信息安全關鍵勝任力進行分析,確定個體和組織整體勝任力水平,根據差距確定員工的培訓課程體系,進而提高人力資源對組織信息安全戰略的支持。具體步驟如下:
(1)建立靜態崗位信息安全勝任力模型
勝任力是一個複雜而頗具爭議的概念。1973年著名心理學家、哈佛大學教授McClelland最早提出了「competencY」 的概念。目前公認的觀點認為勝任力是指和績效指標存在因果關係的個人潛在特徵,它能夠可靠有效地將某一工作(組織、文化)中表現優異者與表現一般者區分開來。勝任力模型(Competency Mode1)是指為完成某項工作,達成某一績效目標所具備的一系列不同勝任力要素的組合,包括不同的動機表現、個性與品質要求、自我形象與社會角色特徵以及知識與技能水平。對於個人和組織而言,這些勝任力被認為是長遠的更為重要的因素。
在進行基於勝任力的信息安全培訓需求分析時,首先,要明確分析目的。人力資源部門需要了解企業總體信息安全培訓規劃和信息安全勝任力結構特徵。其次,不同層次、不同崗位信息安全培訓需求分析應採用不同水平的信息安全勝任力結構。在確定信息安全勝任力結構時,應結合基於研究、戰略和企業文化價值的三種思路。運用頭腦風暴法進行集思廣益,並採用360度評價確定最後的信息安全勝任力結構。另外,對組織變量、環境、技術等因素的考慮不可或缺。這樣,最終的信息安全勝任力結構就比較具體,並具有明確的針對性,可以保證信息安全培訓需求分析更為準確有效。
靜態崗位信息安全勝任力模型,根據組織架構說明書和崗位說明書,對員工信息安全能力進行不同層次的定義以及相應層次的行為描述,確定達到崗位信息安全對應層次的要求,應該具備的信息安全核心能力、技術能力以及完成特定工作所需求的熟練程度。靜態崗位信息安全勝任力模型包括一個人在其職務角色、組織內及其內部與外在環境中的責任與關係上,達成令人滿意或楷模績效所需要的信息安全勝任力。
構建靜態崗位信息安全勝任力,可以從以下幾個方面著手:
首先系統研究企業未來發展戰略,通過與領導層訪談獲得企業對信息安全的實際需求,並從企業實際情況出發,將員工按管理職位、專業職位的不同,劃分不同的等級,分析企業戰略對各級各層崗位人員信息安全方面的要求。
其次,分析各崗位職責要求,深入研究確定各崗位勝任本職崗位需具備的信息安全勝任力(包括態度、技能、知識)。根據崗位的具體要求,對從事該崗位工作的員工進行分析研究,綜合運用行為事件訪談法、專家小組討論法、問卷調查法,分別從高績效和績效普通的員工中隨機抽取一定數量的骨幹和專家,具體表述工作中最成功和最不成功的具體案例,對訪談集進行深入分析、技術處理、統計整合,最終抽象提煉出不同崗位的勝任力要素的行為特徵。而後,通過對國際一流公司同崗位同職責人員的信息安全能力分析,尋找出國際一流公司同崗位人員具備的信息安全勝任能力。
第三步,在深入研究分析上述資料的基礎上,歸納各勝任要素的典型行為特徵,並分別描述出不同等級的行為特徵,實現信息安全勝任力模型從抽象概念到具體行為的重要轉變。另外,對資料進行整理、歸類、分級,形成對行為特徵的情景素材支持,使信息安全勝任力模型成為形象的、可衡量的行為事件素材,最終建立起滿足公司科學發展所需的崗位信息安全勝任力模型。
(2)構建每個崗位的靜態信息安全培訓課程體系
信息安全課程體系是信息安全培訓體系的子系統,是企業為達到信息安全培訓目標可以提供的課程資源,以滿足所對應的一切信息安全培訓需求,包括:課程架構、課程內容、課程形式和課程安排等。基於崗位信息安全勝任力的培訓課程體系是長期的、系統的有計劃的課程體系,逐步發展員工的技能,使員工能夠應付個人在組織發展過程的每個階段,主動的課程體系是適應性強的,包含了適應未來的培訓需求。
靜態的信息安全培訓課程體系,是指針對崗位信息安全需求,達到崗位信息安全勝任能力必須掌握的課程內容,是與崗位同時存在的,針對崗位信息安全需求而產生的,表現為組織層面和崗位層面的信息安全課程體系。如何建立靜態的培訓課程體系,從以下幾個方面入手:
首先,逐層分解每個崗位信息安全勝任能力,細分獲得二級乃至三級能力項,在此基礎上,深入剖析各勝任要素的內涵、外延、行為特徵、行為案例素材,將之分解為不可再分的「最小單元知識點」,這樣,一個信 息安全勝任能力可能分解成多個最小單元知識點。其次,對最小單元知識點進行匯總、歸類、合併、歸納、總結提煉。結合各崗位在各要素上的側重點差異,分別設計對應的課程目錄,最終完成基於勝任力模型的靜態信息安全培訓課程體系。
第二,對每個課程的內容進行設計和定義,製作《課程描述》文件, 內容包括:課程名稱、培訓主題、課程目標、課程內容、培訓對象、培訓方式、課程實施建議等。
第三,課程分層分類,依據不同發展階段上的員工特點和需要,對課程進行合理的分布與組合,梳理課程間的邏輯關係,形成分層、分類的信息安全課程體系。
基於勝任力模型開發的信息安全培訓課程體系,設定了每一職業發展階段所需要的信息安全技能培訓和專業培訓,建構了每個具體崗位明確的信息安全課程方案,使信息安全培訓課程的針對性和體系化更強。靜態的信息安全課程體系展現的是一張完整學習地圖,給出了一名員工從新人入職到高級經理的完整學習路線圖,體現了戰略性的信息安全人力資源開發。
(3)分析員工動態的崗位信息安全勝任力模型,確定動態信息安全培訓課程體系
靜態的信息安全培訓課程體系是在基於崗位信息安全勝任力的基礎上進行開發和設計,動態的信息安全培訓課程體系與員工動態的崗位信息安全勝任力需求相對應,是指具體員工到了指定崗位後,該員工現有能力與其崗位信息安全勝任能力之間的差距,根據此差距,確定需要開設的信息安全培訓的課程體系。此信息安全課程體系是針對員工的具體信息安全需求產生的,為員工個人層面的信息安全培訓課程體系制定動態的信息安全培訓課程體系,首先要確定員工動態崗位信息安全勝任力。勝任力模型明確地界定了員工具備高績效信息安全所必需的行為特徵,幫助員工了解自己的信息安全勝任力水平和改進點。因此,信息安全勝任力模型建立起來以後,要組織調查小組進行廣泛深入的調查研究,對員工目前的崗位信息安全勝任能力進行測評,即對目前在崗人員按照崗位信息安全勝任力模型進行個人勝任特徵的測評,以確定各級各類在崗人員的信息安全勝任程度,即建構員工的動態崗位信息安全勝任力模型。通過對現有任職人員的信息安全勝任能力評估, 發現每一個個體的能力優勢和弱項, 以及確定各級各類人才能力現狀與勝任能力模型的差距,繪製各級各類人才信息安全能力缺口圖。
其次,並以員工動態信息安全勝任力模型為出發點,確定具體信息安全培訓需求。基於崗位信息安全勝任力模型來分析信息安全培訓需求,可以更好地提高信息安全培訓需求分析與組織戰略目標的一致性,避免盲目培訓帶來消極後果。
培訓需求=目標工作績效(靜態崗位信息安全勝任力模型)一實際工作績效(動態崗位信息安全勝任力模型)
在這一公式中, 目標工作績效是指完成崗位職責應該達到的信息安全勝任力水平,即靜態的信息安全崗位勝任力模型;實際工作績效是指經過測量得出的信息安全工作績效,即經過勝任力評估所得到的員工信息安全勝任力的實際水平,也就是員工動態崗位信息安全勝任力模型。通過培訓取得的效果要彌補此兩者之差。基於崗位信息安全勝任力模型,可以更加有效的根據差距找出員工信息安全培訓需求,更加有效地、針對性地制定員工信息安全培訓課程體系。
第三,根據員工動態的信息安全勝任力模型,分析信息安全能力差距產生原因
對每一項信息安全能力項目的現狀與其期望值之間的差距進行認真分析,確定差距是由於員工自身的知識、技能方面存在的問題,列出信息安全能力差距清單,以此確定被培訓者現有能力與能力模型要求不匹配所需要的培訓。據此,根據崗位勝任力模型要求的靜態的信息安全課程體系,針對目前員工崗位勝任力差距,有針對性地制定具體信息安全培養發展計劃,提供具體化信息安全培訓課程。
基於勝任力模型構建信息安全培訓課程體系,覆蓋企業全體員工,使每位員工在每個崗位都能及時地接受到合適的培訓,從而具備與各個崗位相匹配的基本能力和基本素養。隨著員工職業發展階段的變化、崗位變遷,都會導致崗位信息安全勝任力的變化。因此,員工的信息安全培訓課程體系構建是一個動態變化的過程,是一個循環的過程。
三。匯哲科技:集團型企業信息安全人才培訓解決方案
隨著信息技術不斷發展,信息安全問題逐漸突出,集團型企業信息安全問題日益複雜。信息安全事件不但衝擊企業整體營運,削弱企業的競爭力,甚至造成經濟上的重大損失,影響公司形象,觸犯國家法律法規。對於集團型企業信息資產,信息系統安全運行、甚至研發人員,都是競爭者圖謀的對象。如果集團型企業因缺乏適當的信息安全管理和專業信息安全隊伍,很容易發生智慧財產權被盜、核心資料外洩、資深研發人員被挖角、信息系統癱瘓或受到攻擊等信息安全事件,嚴重影響企業競爭力,甚至造成企業經濟重大損失。隨著信息安全形勢嚴峻,信息安全從業人員將變得越來越有價值,掌握國際與國內先進的信息安全最佳實踐、學習最新的信息安全技術、管理知識,符合國內外信息安全標準與法律法規是未來信息安全從業人員的基本要求,具備一支信息化專業人才隊伍也是集團型企業發展中的必然要求。
集團型企業信息安全人才培養規劃的意義?
信息安全專業是一門新的專業科學領域,人才的缺乏是此專業的快速發展中面臨的主要問題之一;同時信息安全涉及面廣,對於信息安全專才的要求也很高;集團型企業缺乏對信息安全專業人才的定義,缺乏對信息安全專業人才能力的具體要求和指標,特別是不同行業信息安全人才的衡量標準。
集團型企業信息安全人才應該是?
走專家路線,是信息安全人才和信息安全建設的必經之路;信息安全,三分靠技術,七分靠管理,集團型企業信息安全人才培養計劃應該是走出一條打破傳統培訓或學習方式的,依據信息安全特點的信息安全人才培訓課程體系,不但需要依靠專業的技術和設備,更需要有專業的人才來增強信息安全建設和管理。集團型企業信息安全人才應該需要有廣泛的專業知識和較強的動手能力,集團型企業信息安全人才既要滿足信息安全理論的要求,更要符合集團型企業信息安全人才日常工作要求。集團型企業信息安全人才是可以統攬信息安全全局的人,是可以從技術和管理視角去看待信息安全建設和信息安全事件的人才;信息安全人才是同時具有業務視角和安全敏感的人才;信息安全人才是具有某一管理特長或者技術特長的人才。集團型企業信息安全人才不是信息安全全才;集團型企業信息安全人才不一定是解決問題的人,而是可以找到解決方法的人;集團型企業信息安全人才不是維護和管理應用系統特定故障的人。
集團型企業信息安全人才培養規劃如何來做?
(1)集團型企業信息安全人才培訓需求現狀調研:培訓之初將通過調查問卷的方式對學員進行全面的現狀調研,了解參加培訓學員現狀、並針對調研後的結果在設計符合企業目前需要的課程。
(2)集團型企業信息安全人才培訓方法的設計:根據調研結果分析學員接受能力以:「課堂授課、技術演練、沙盤實踐、技能竟賽、企業參觀」等為主體,設計一套符合集團型企業信息安全人才的授課方法。
(3)集團型企業信息安全人才培訓課程體系初設計:針對培訓需求現狀調研後的結果、設計出整體的培訓課程。
(4)集團型企業信息安全人才工作分析調查問卷:根設計企業信息安全工作分析調查問卷,對涉及信息安全的人員進行調研。
(5)集團型企業信息安全人才職位職責體系:職責定義修正電話訪談;通過安全專才計劃完成的職責定義問卷的調研,在總結問卷反饋結果的基礎上,與部分安全專職人員進行面對面訪談之後,對職責做一定的修改,並通過電話的方式與領導進一步溝通,明確專才的職責之後,進一步推動技能要求和培訓要求等工作。
(6)集團型企業信息安全人才核心能力庫設計:從信息安全規劃、管理和技術(解決方案和產品)等方面對信息安全專才提出具體要求。能力庫主要依據集團型企業信息安全人才已有的信息安全管理制度中信息安全相關崗位所負責的主要工作,從安全理論、保障體系、管理維護、風險評估、安全審計、問題分析與解決等多個方面對能力進行設計。
(7)集團型企業信息安全人才核心技能點分析調查問卷:集團型企業信息安全人才核心能力通過問卷反饋,電話訪談,會議討論多種形式,最終將核心能力定為大類安全能力,由於同一能力可能要求的層級不同,並根據集團型企業的核心能力修正為幾個不同等級。
例:安全等級分為安全類能力等級和安全點能力等級:A級:指導級:對於對應的安全能力具有深厚的理論基礎、精湛的技能和豐富的實踐經驗,可以向他人傳授,講解,解惑此領域的知識和問題,可以指導他人開展此領域的安全工作,可以指導他人解決此領域的安全問題。B級:實施級,對於對應的安全能力具有深刻的認識、具有實踐經驗,具有較強的解決問題的能力,可以獨立承擔此領域的工作,可以獨立解決此領域的安全問題C級:協助級,具備本領域的知識,有一定的實踐的經驗,在他人指導下或者有參考案例下可以完成本領域的工作,可以協助解決此領域的安全問題。
安全點為每個安全類下的細化後的知識點和技能點:根據《信息安全專家核心能力庫》原型及《集團型企業信息安全人才工作分析調查問卷》結果設計《安全技術專家核心能力庫對應模型》,通過將安全核心能力與安全專才主要崗位職責進行匹配,了解各職責對安全的能力需求關係,並通過該關係最終獲得信息安全專才課程設計。
(8)集團型企業信息安全人才課程設計與修正
通過電話訪談、現場會議、郵件溝通的方式,根據移動領導的要求,對課程設計模型進行了相應的修正。將課程與角色的對應關係修正為課程與部門的對應關係,更方便不同的部門對課程的有效選擇。 修正部分部門工作涉及的安全知識域。課程設計中所述安全職責僅用於說明部門所屬工作人員在工作中可能遇到的安全域知識的類別,並將該知識域與課程設計中的具體課程進行關聯,從而向該部門員工推薦該知識域課程。
由於部門的工作相互關聯的內容較多,因此在課程設計中訪談部門成員,了解其工作中需要的安全領域,並歸納為部門安全職責知識域定義,最後通過核心能力、部門、課程以及安全專家能力要求,設計整體課程。
(9)集團型企業信息安全培訓管理與考核系統
通過建立安全培訓管理與考核系統可以:業務部門實際的工作需要迅速的、有針對性地轉化為培訓需求,並對資源進行有效調配。對歷史培訓的紀錄和資源進行有效的管理,使得大量資源能夠實現共享。跟蹤學員的培訓紀錄,從參加培訓的項目、考勤、考試成績等全面跟蹤學員的信息安全素質和能力的提升過程。對培訓過程中的師資、大量的培訓課件和材料進行有效管理。培訓結束後,將會進行相關培訓內容的筆試考試和測試,目的在於提高大家的培訓積極程度,並檢查培訓內容的接受程度和最終的培訓效果。
(10)集團型企業信息安全培訓知識庫建立
根據整體培訓的具體課程建立整套培訓教材、體系資源、輔導、參考資料等綜合知識庫,用於培訓後期企業自己組織與實施。
客戶驗收總結:
基於勝任力模型為集團型企業構建動態信息安全培訓課程體系關注集團型企業的整體性,關注整體績效水平和核心競爭力的提升。基於崗位信息安全勝任力,建立的信息安全課程體系通過「崗位一能力一課程」的映射將公司信息安全戰略予以分解,分析得出各崗位所需的信息安全能力要求,並分別定出所需的信息安全培訓課程。企業通過建立崗位信息安全勝任力模型,可以更加有效的根據差距找出員工信息安全培訓需求,更加有效地、針對性地制定員工信息安全培訓課程體系,促進員工關注於自己的職業發展和能力提升以實現信息安全績效,最終實現企業和員工的雙贏。
(圖:匯哲培訓服務三維體系,360度覆蓋您的培訓需求)
2008年至今,匯哲科技以「國際信息安全學習聯盟」為基礎。長年致力於信息安全培訓的開發與研究,培訓從當年單一的認證培訓發展到目前涵蓋了:精要入門,高級認證,卓越實踐、三大類型;覆蓋IT治理,信息安全,IT審計,業務連續性,IT服務管理,項目管理,領先理念(大數據、雲計算、移動網際網路、虛擬化)七大領域。同時組織並參與聯合國訓練研究所與上海亞太地區經濟和信息化人才培訓中心主辦的援外培訓工作;並與網絡信息安全管理與服務教育部工程研究中心,上海交通大學聯合辦學,共同建設與管理信息安全培訓中心、面向社會培養具備專業水平的信息安全專業人員,服務於政府和廣大企業。2013年在「2013第十四屆中國信息安全大會」通過由政府領導、學者專家組成的評委會嚴格評議,匯哲被授予「2013年度中國信息安全優秀培訓服商」含金量最高的獎項。