|
集团型企业经常会遇到:
“在和运营商的交流、讲标中,会议后发现竞争对手利用酒店人员将录音设备安装在会议现场,造成技术机密和商业机密被对手掌握。员工事先没有意识检查会场。”
“IT部门发现有人通过电子邮件将招投标和技术解决方案发给不明厂商。”
“有员工发现同部门或其他部门出现安全事故的时候,靠感觉去决定处理流程。”
“公司的临时工只有劳务协议,但是临时工同样可以接触到公司的部分核心机密。
人员安全包括安全工作实施,安全培训和安全事故响应流程。人员安全应关注于工作责任的定义和单个雇员的监控。
汇哲总结:
员工安全培训少,只有特定的职位有培训。员工没有普遍的安全意识,安全技能严重不足。
新员工需签保密协议。公司有职位和角色的定义,对违反规定有处理措施。总的来说,公司有不完善的安全制度,但无细化到可执行的文件。没有处理流程 ,只根据突发事件处理。
职务说明书内没有明确岗位的安全职责,岗位的安全级别简单与行政级别挂钩。不利于员工的自觉遵守。
-----摘自某集团型企业信息安全现状分析
信息安全培训长期被集团型企业认为是“重要不紧急的”,如何将培训提升为企业“重要紧急的”,需要解决:
高级管理层的困惑:员工信息安全知识水平跟不上公司发展需要,严重影响公司业务正常运行;业务部门、技术部门、人力资源部每年制订各种信息安全培训计划,信息安全培训规划思路凌乱,缺乏系统性;公司花费大量资金和宝贵时间举办培训课程用于提高员工信息安全素质,结果:培训经费年年递增,公司白花钱,组织者空耗精力,只提高了培训覆盖率,培训效果不明显,问题到底出在哪儿……
人力资源部的苦恼:信息安全培训课程少,层次低,一般在业务或技术部门内部进行,没能在公司级或部门间进行资源整合;信息安全培训内容不全面,集中在产品、操作技能培训,缺乏系统性,没有与员工职业生涯规划相结合;信息安全培训运营制度体系不完善,没有对信息安全培训从项目策划、课程开发、师资选拔、效果评估全过程形成闭环管理……
业务部门和技术部门的疑问:信息安全培训以人力资源部门推动为主,没有与业务和技术部门的需求紧密结合;信息安全培训课程新瓶装旧酒,没有创新和改变,培训内容和质量不能跟上业务和技术发展的需要;信息安全培训没有验收,每次都像走过场,越来越流于形式……
员工的抱怨:信息安全培训内容单薄, “木桶短板” 讲了好几年,枯燥乏味;信息安全培训形式,填鸭式教学,照本宣科,学习积极性不高;信息安全培训课程体系缺乏针对性,对实际工作指导性不强……
目前大多数集团型企业已经开展信息安全培训,遇到的相同问题---效果不理想,主要原因是信息安全培训内容不能符合企业、岗位及员工的具体需求,缺乏有效的信息安全培训课程体系,不能适应信息安全培训长期发展的要求。信息安全培训课程体系建设对信息安全培训项目的实施具有指导性、引领性,如何构建合理有效的、符合集团型企业、岗位以及员工个人发展需求的信息安全培训课程已经列入集团型企业信息安全培训管理者的工作日程。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有帐号?注册通行证
x
|