暗網潛航——信息安全意識教育
龐博文
2021-10-25 04:52 HKT
字體大小
現今世界瞬息萬變,大家日常活動愈來愈倚賴信息技術,遇到信息安全風險機會同樣與日俱增。縱使保障信息安全意識日漸提高,但由於操作者缺乏基礎知識及行外人亂說一通,令大部份人對信息安全基礎概念模糊不清,甚至因此不能應對風險。今次與大家淺談一下在保障企業的信息安全合規時,是如何設計信息安全意識教育項目。
全球所有的信息安全法規和法律均要求企業、政府部門及組織強制實行信息安全意識教育。在整個訊息處理過程中,最容易產生漏洞的便是「人類」。機器的漏洞尚可利用技術進行有把握的補丁或升級,而人的漏洞只可以靠教育進行補丁或升級。因此正確的信息安全教育是非常重要,雖然不能泯滅風險但至少可以減少發生事故和提升保證性。
大家慣常參加公司的信息安全意識教育講座,整間公司不同部門無分職級和職能坐在一起,然而這類課程的設計是未能發揮真正的效能。正確的信息安全意識教育,應根據工作環境和流程及職級和職能進行分類設計和施行。
在信息安全管理中最注重的三個範疇分別是人、流程和技術。信息安全問題是屬於技術範疇,操作步驟是流程,然而決策和運作卻是人。可是人的安全意識教育卻缺乏保證性,要改善由人所產生的問題,便需要按操作者職權與職能既定操作流程再,配合規範及規條。如果培訓方法不是基於操作者職權與職能進行設計及評估,基本上只會事倍功半,甚至沒有效用。
TOZ聯合創辦人
龐博文
全球所有的信息安全法規和法律均要求企業、政府部門及組織強制實行信息安全意識教育。在整個訊息處理過程中,最容易產生漏洞的便是「人類」。機器的漏洞尚可利用技術進行有把握的補丁或升級,而人的漏洞只可以靠教育進行補丁或升級。因此正確的信息安全教育是非常重要,雖然不能泯滅風險但至少可以減少發生事故和提升保證性。
大家慣常參加公司的信息安全意識教育講座,整間公司不同部門無分職級和職能坐在一起,然而這類課程的設計是未能發揮真正的效能。正確的信息安全意識教育,應根據工作環境和流程及職級和職能進行分類設計和施行。
在信息安全管理中最注重的三個範疇分別是人、流程和技術。信息安全問題是屬於技術範疇,操作步驟是流程,然而決策和運作卻是人。可是人的安全意識教育卻缺乏保證性,要改善由人所產生的問題,便需要按操作者職權與職能既定操作流程再,配合規範及規條。如果培訓方法不是基於操作者職權與職能進行設計及評估,基本上只會事倍功半,甚至沒有效用。
TOZ聯合創辦人
龐博文
最Hit
更多文章