江峰 - 2008-10-15 13:07:00
C-信息安全培训项目之意识养成文件-“结合点”-HANSLASER-JackJiang-A01-0703
寻找传统信息安全理论与大族项目实施问题的结合点
----从信息安全培训项目,谈谈信息安全实施的几个原则
有幸加盟大族从事信息安全工作,笔者一直在思考一个问题:有了先进的信息安全标准和方****,以及异质文化企业的项目实施经验。怎样才能争取不照搬不机械复制,而探索出一条真正属于我们大族自己的合适的,可操作的,有成效的信息安全发展之路。笔者的弊作,只希望能够抛砖引玉,引发公司全员对信息安全项目实施参与热情和如何保证国际标准体系理论在大族的适用性,可操作性和有效性的几个原则问题思考和讨论。以下观点,仅供参考!-------笔者
众所周知,任何一个先进的理论模式要想推展成功,必须结合当前的实际情况,至少保证实施导入方式文化与当前组织的工作方式文化一致;激发组织全员主观能动性积极参与到信息安全的工作推展和思索活动中来;引发公司领导对信息安全工作重要意义的深切感受,认同感和全力支持。谈到信息安全实施项目的发展,先进模式理论的推广需要思索的关键点,至少有三个原则:适用性原则,可操作性原则,有效性原则。
适用性原则:刺破假权威伪理论大气泡的探实针
适用性原则是指方****或模式满足客户需求规格的程度,也就是我们通常讲的“量体制衣”,是特别订制的具有针对性的;而非“套马褂式”的,交了衣服,撒手不管,合不合身留给“上帝”体验去!
适用性原则对信息安全培训项目在实施过程中的重要性,可谓凌驾一切!因为它决定一种模式或理论在实施过程中的价值趋向,即一套再先进再科学的标准或体系,假如失去了适用性这个项目决定实施成败与否根本原则,就直接意味着项目的失败,失败就产生项目实施的负价值;为什么说这个价值是负价值呢?因为客户陪我们花了大量时间,金钱,却没的到什么实实在在的合适的东西,用项目管理的所谓的行话讲,就是“交付物或产出物”。拿信息安全培训项目来讲,保证和实现适用性原则必要的里程碑步骤是:培训需求调研。无疑,这是了解需求,发现真正需求的根本步骤。需求调研的方式,通常需要通过与客户的面对面的现场访谈和问题调查表或以其他形式出现。通过现场访谈,我们可以了解组织人员的对信息安全思想意识的认知情况,得到组织人员大致的信息安全培训需求方向;通过询问具体问题的需求调查表,我们可以得到具体的详细的客户对信息安全管理认知,这是我们制订教材的基本依据,即教材要为所谓的“传道解惑”服务,尽量做到一对一的问题简述讨论。
我们前期做了一些应该说内容覆盖面广,也有系统安全和防病毒方面的较深专业内容知识点。但内容却没有针对性,不是为客户“因需而变”的,没有真正满足客户的需求。比如,拿系统安全和防病毒方面的较深专业内容给中心全体人员讲,这就不是太科学,不具有针对性,这也是我们信息安全团体今后工作展开值得注意和检讨地方。对专利人员或资料管理人员来讲授具体的系统操作,无论学员收获了多少东西与否,对我们这种为信息安全项目服务的培训项目来讲,它的合适与否值得思考?既然是项目,它必须是为达到特定目标服务的。即不外乎以下几点:意识的培育;标准方****的认同感培育;专业信息安全防护技能培养;或日常办公环境中信息安全防护的基本操作技能。不要忘记了,面对非IT人员,他们真正需要的是意识的培育或日常办公环境中信息安全防护的基本操作技能;因为他们在组织中,确切的说是项目中的角色是普通客户;他们在项目系统中并不承担系统或网络安全的系统和设备的操作配置。所以,我们认为我们应该更多的关注他们实际实质的需求,与他们一起探讨培训相关的课题。当然,假如我们不是只为项目服务,不是抓重点为目的的,或者客户对这块感兴趣的情况,我们当然也欢迎非IT人员来学习专业具体的繁杂的操作配置。有关培训对象的细分,我们将在有效性原则部分继续讨论。综上所述,我们知道一套理论或方****如果没能深入民众放下高贵的身段,与当时当地结合是不会结出什么好果子的。对与伪科学假权威的大气泡,我们拿适用性原则这根探实针探一探只真伪了。
可操作性原则:避免方****沦为空谈奇谈的终结者
可操作性原则是指将信息安全项目的各项关键指标化为具体的目标或者操作程序,坚持定性评价与定量评价相结合,以量化的指标体现质性的规定,并更多地采用质性评价法,并且使用操作性语言加以解读。但是,科学性是抽象的、原则性的概念,不具有直接操作性。但它包含的指标很多,可以根据项目具体的实际情况,选择以下三项直接可测性的指标来体现“科学性”:一是项目设计与实施方案的观点、目标、内容、方法是否正确;二是计划方案是否符合项目发展规律,是否体现组织当前首要的需求方向,实施安排过程是否优化有序,是否体现组织部门之间的互动、合作、探究;三是项目方案与实施步骤方法是否从组织的实际出发,具有可行性和针对性。
信息安全培训项目的操作性在项目管理的角度,主要体现在具体的目标或者操作流程。关于培训目标,培训的每不同阶段有不同的目标。在培训的初级阶段,或面对初步意识认识需求的客户,我们力求达到安全意识的培育,让学员切实认识到信息安全的重要意义和学会日常办公环境中信息安全防护的基本操作技能。一个完整的信息安全培训项目的项目拆解,也就是信息安全培训项目计划WBS具体至少应该包含以下动作步骤。1.信息安全培训需求调研:1.1 需求现场访谈(交付:访谈提纲);1.2 需求调查问券 (交付:调查问券); 1.3 需求调研分析(交付:需求调研报告或培训课程计划:讲师/课程/培训对象/教室人数等的确定计划);2. 教材的制作: 2.1 依据培训课程计划收集素材; 2.2 各类教材的制作(PPT); 2.3 课程的试题制作;2.4 培训满意度调查表设计制作;3. 培训项目的实施:3.1 讲师/课程/培训对象/教室的安排;3.2 培训课程实施(发放教材和试题,满意度调查表/意见征询表);3.3 课堂培训展开;4. 培训效果检讨:4.1 收集评阅试题和满意度调查表/意见征询表; 4.2 试题和满意度调查表/意见征询表详细分析研究; 4.3 培训意见回馈和改进报告 5. 改进措施展开: 5.1 细化的需求再调研与评估;5.2 课程更新计划;5.3 讲授方式方法更新计划; 5.4 更新后的培训展开。。。,。。。以上,我们通过浏览一遍了信息安全培训项目的大致整体流程,大家看到了具体详尽的项目目标以及实现目标的操作性步骤,希望我们能把目光集中在项目步骤之间的先后或因果逻辑,即目标,方法是否正确,过程是否优化有序,符合发展规律。关注了这些,所谓的可操作性才有了基本保障。它们是保证可操作性的充分必要条件之一。所以,我们认为,可操作性原则是避免方****沦为空谈奇谈的终结者。
有效性原则:验证方****对组织是否存在价值,是否是伪科学的试金石
有效性原则是指项目在实施中和实施后的阶段所产生的成效问题。拿信息安全培训项目来讲,即是信息安全的意识是否切入人心,专业或基本操作技能是是否被掌握,认同感是否在客户特别是高层感到是存在价值的和实施的方法步骤是可靠的?其实,有效性原则问题,是个信息价值传递给合适的事物过程中的问题,给客户所需要的。
这就回到我们上面所讲到的有关培训对象的细分的问题了。首先,我们对中心人员进行分类:大致为高层和主要管理人员,IT或IS专业人员,普通办公用户。当然,这也需要进行需求调研动作。我们中心的人员需求大概需求应该为:对高层和主要管理人员,他最关心的是为什么需要?怎么实现等方面的问题?我们信息安全专职人员需要向他们宣导信息安全的重要性和具体怎么实施以及项目实施借用什么工具实施保证等。我们至少需要告诉他们,信息资产存在风险,每个身边的人员,每个工作流程中都存在很多对宝贵的资产的安全威胁;事故其实时时刻刻可能发生,当然只是事故有的可能被发觉,有的没有被发现罢了。安全风险为什么是存在的?而且要让其真切很明了认识和感受。比如,我们必须阐述清楚,网络从其诞生之日起,它的安全性隐患也随之产生。因为当前的环境至少以下事实是实实在在的存在的----网络系统自身存在的缺陷:操作系统网络存在弱点和漏洞。即使是软件巨头微软公司的产品,也是漏洞弱点百出,这是众所周知的事情;互联网的开放性的特点本身是喜忧参半:有协议统一公开,才能实现网络互联远程访问,信息智慧资源的共享;所有的资源的公开暴露就无疑给广大的网民或玩家以攻击戏耍的机会。也就是大家有目共睹的网络攻击活动的日益泛滥剧增。比如分布式拒绝服务啦(多人联合疯狂向同一节点发送数据包)。
至于怎么实现的问题,就是需要我们拿出具体的实施步骤方案,也即是项目管理中所谓的工作分解WBS。信息安全培训项目的大致WBS在上部分已经简述。领导了解了是什么,为什么和怎么样的问题后,才会舒心一笑,我们可以保持高效安全的IT营运平台,我的商务业务就可以保证持续不断的进行了,我们可以对股东和股民有基本交代了!股东认同组织的可持续发展能力的公信力,是组织赢得融资的关键。对专业的技术人员,我们需要给他们有关的所谓系统安全,网络安全的具体的操作方法步骤方面的知识。对于一般办公人员,需要培育信息安全一般意识,认识到重要性后;然后,培育日常办公环境中存在和常见的信息安全防护操作措施。
当然,随便提一下,项目管理对项目的实施的重要性我们每个人都知道。项目管理的进度管理,质量管理,成本管理等模块和项目实施工具都是非常重要的。
希望我们能共同关注信息安全项目,共同学习进步!
在大族EAS项目启动会上,有幸聆听了公司高层的讲话,了解到现今的大族正处于健康,高速发展的时期。应该说在这个属于大族人的科学发展的春天,需要更多的千里马跑出来,更好的思想观念涌现出来。。。当然,面临色彩斑斓的天空,大族人更需要不断思索,质疑,分辨出科学与权威的对与错,真与伪,杜绝伪学说假权威的“假大空”的把戏!做好了这些,相信我们大族人会迎来真正的属于我们大族人的发展的春天!
(大族激光信息中心信息安全 江章杰 200703 原创作品,违权必究! )