5-2 定期培訓與演練

培訓與演習是賦能工作夥伴的重要方式，透過固定的舉辦頻率與多元的培訓，增強工作夥伴的資訊安全認知，進而再以演練了解培訓的實際效果，可更好地了解與調整培訓內容，形成一個不斷優化、定期提醒的循環。

培訓頻率建議

• 新進夥伴培訓：在新夥伴入職時，進行基礎的資訊安全培訓，讓他們了解組織的安全政策和基本要求。

• 定期全員培訓：每半年或每季度舉辦一次，更新最新的安全知識和威脅動態。

• 主題培訓：根據不同部門、職務的需求，每年進行一次針對性的培訓，如財務部門的安全培訓。

培訓主題建議

依據組織的實際情況，制定能符合組織資安規範與工作夥伴需求的主題，提升整體安全水平。

基礎內容

• 組織安全政策：詳述組織的安全規範與目標、須遵循規定等。

• 基本安全知識：日常安全操作、威脅識別與回報，包括密碼管理、資料保護、網路安全的基本技能、如何識別釣魚郵件、惡意軟體，遭遇特殊狀況時如何回報。

• 最新威脅說明：介紹近期的資安事件和新的攻擊手法，提高警覺性。

• 實際案例分析：透過真實案例，讓工作夥伴了解安全疏忽的後果。

進階規劃

針對不同層級、不同部門與職務的專屬需求，擬定進階規劃。

治理層：

• 風險管理：評估和管理組織面臨的安全風險。

• 戰略安全意識：資訊安全對組織發展的影響、決策中的安全考量。

管理層：

• 政策執行與監督：擬定政策推行方法，確保工作夥伴的安全行為。

• 溝通協調：加強跨部門間的協作，形成統一的安全防線。

執行層_工作夥伴：

針對部門或職務規劃特定需求的安全培訓

技術人員：

• 專業安全技能：系統安全配置、漏洞修補、緊急反應。

• 安全開發原則：在軟體開發中融入安全考量。

培訓計劃示例

根據組織需求調整培訓內容

評估組織特點：

• 業務性質：根據組織的服務領域，確定安全培訓的重點，如涉及大量個人資料的組織，應強調資料保護。

• 現有安全水平：評估工作夥伴的安全知識，針對薄弱環節加強培訓。

關注最新威脅：

• 行業動態：持續關注非營利組織面臨的安全挑戰，及時更新培訓內容。

• 技術發展：隨著新技術的應用，增加相關的安全知識，如雲端安全。

收集員工反饋：

• 需求調查：透過問卷調查了解員工希望學習的主題。

• 問題匯總：將員工在工作中遇到的安全問題納入培訓計畫。

靈活調整方式：

• 多元化學習渠道：運用線上課程、短影音等不同型式，滿足不同學習偏好。

• 實踐與理論結合：增加實際操作和案例分析，提升培訓效果。

演習的形式與效果

演練形式：

• 模擬釣魚測試：發送模擬的釣魚郵件，測試工作夥伴的識別和應對能力。

• 安全事故演練：模擬資料洩露、系統故障等情況，檢驗組織的危機反應。

演練效果：

• 提升應變能力：透過模擬實際情境，提高工作夥伴應對危機的能力。

• 發現流程漏洞：識別組織在安全流程中的不足，及時進行改進。

• 增強團隊協作：培養部門之間的合作意識，形成統一的安全防線。

如何評估整體成效

評估方法：

• 知識測試：在培訓結束後，進行測驗以評估工作夥伴對內容的掌握程度。

• 行為觀察：觀察員工在日常工作中的安全行為，如是否遵守密碼規範。

• 模擬攻擊結果：統計在模擬釣魚測試中被誘騙的人數比例，評估警覺性。

• 工作夥伴反饋：透過問卷或座談會，了解夥伴們對培訓的看法和建議。

指標分析：

• 安全事件數量：比較培訓前後，組織內安全事件的發生率。

• 響應時間：評估員工對安全事件的報告和處理速度。