網絡安全能力成熟度模型:D3-網絡安全教育、培訓與技能(一)

網絡安全能力成熟度模型的第三維度著眼于高質量網絡安全教育、培訓和提高認識的活動在全國的可行性,以及開發和實施這些活動的能力。這包括向政府各利益相關方、私營部門和一般民眾提供教育和培訓。

網絡安全能力成熟度模型的第三維度著眼于高質量網絡安全教育、培訓和提高認識的活動在全國的可行性,以及開發和實施這些活動的能力。這包括向政府各利益相關方、私營部門和一般民眾提供教育和培訓。

PS:報告中淡紫色方框是對本段內容重點的提示、面臨挑戰和補充,淡藍色方框是現行的一些最佳實踐(政策、活動等)、橘黃色方框是要政府要著重關注的點、末尾灰綠色方框是本節報告所參考的資料。由于一些敏感詞會背屏蔽,有些詞會用其他字代替,各位請自行意會。

之前兩個維度,請參考個人以往發表的文章。

第三維度簡介

網絡安全能力成熟度模型的第三維度著眼于高質量網絡安全教育、培訓和提高認識的活動在全國的可行性,以及開發和實施這些活動的能力。這包括向政府各利益相關方、私營部門和一般民眾提供教育和培訓。

GCSCC CMM的這個維度包括三個要素。以下各節將討論國家決策者在這些問題領域建立能力可采取的能力建設步驟,這些步驟包括:

1. D3.1 – Awareness raising

這一要素關注針對公共、私營、學術和大眾社會部門以及公眾利益的網絡安全意識規劃和倡議可行性、提供能力以及被接受的情況。。

2. D3.2 – Framework for cybersecurity education

該要素的重點是,在中小學和高等教育階段提供網絡安全教育的有效性和可行性。

3. D3.3 – Framework for professional training

該要素的重點是,提供專業網絡安全培訓,用以培養網絡安全專業骨干人才,包括通過組織內部的橫向和縱向網絡安全知識轉移,以及通過持續的技能提升。

正文

Dimension III : Cybersecurity, education, training and skills

D3.1 – Awareness raising

概述

該要素重點關注針對公共、私營、學術和民間團體部門以及公眾利益的網絡安全意識項目和倡議的可行性、提供能力以及被接受的情況。

從根本上來說,網絡安全意識構成了一種共識,即網絡空間從根本上是不安全的,惡意行為者可能在個人、商業、國家層面進行破壞或利用硬件、軟件、行為和信息。然而,提高網絡安全意識的目的是超越對網絡安全意識的基本描述,在利益相關群體之間建立對網絡安全更深入的理解。這背后的含義是:個人、組織和政府應該對參與其中的角色和動機有一個了解,如可能發生的各類網絡攻擊(包括對一些跡象的發現)、安全漏洞的潛在影響以及可以降低網絡攻擊頻率和影響程度的方法。

網絡安全意識與整個社會息息相關,包括以個人行、員工和執行力等行為方式。在個人層面,網絡安全意識的提高可以更好地保護用戶免受惡意軟件、盜用、濫用個人信息和侵犯個人隱私等威脅。在員工層面也有類似的考慮,盡管在當前情況下,面臨風險的主要是公司而非個人。在執行層面,管理者通常會控制更多的資源并擁有更大的影響力,因此在提升網絡安全、制定和實施網絡安全戰略以減輕組織威脅(有時甚至是國家威脅)方面處于更加有利的地位。

網絡安全意識的提高應針對所有受眾,并能通過各種方式實現,包括一般性的意識宣傳活動、有針對性的網絡安全意識規劃以及衡量影響和有效性并據此進行調整的意識宣傳活動。表3.1概述了幫助提高國家層面的網絡安全意識可采取的步驟。

image.png

能力建設步驟

指派一名負責人制定并實施一項提高網絡安全意識的國家計劃

為提高國家層面的網絡安全意識,第一階段是指派一位專門的負責人來制定網絡安全意識規劃。這通常會在國家網絡安全戰略中進行概述,由一個或多個政府機構負責提高網絡安全意識的工作。被選定的機構通常已經以某種形式參與了國家級的網絡安全工作。這有助于確保在提供信息和建議時具備足夠的專業知識、基本情況以及合規性。在某些情況下,為了提高網絡安全意識,已經建立了獨立的組織或公私合作伙伴關系,用于替代內部政府機構或與其合作。由于各國的期望、需求和組織結構各不相同,應根據不同國家的情況指定任務負責人。

image.png

與不同部門的利益相關方協商,制定并執行提高意識的資料和方案

一旦指定了任務負責人,下一步就是設計和實施一項提高網絡安全意識的活動。開展意識宣傳活動的目的不僅是讓目標受眾了解網絡空間的風險和緩解策略,而是改變他們的行為方式,使其能夠以更安全的方式使用ICT(信息通信技術)。

在設計這項活動時,應考慮以下因素:

利益相關方

目標

受眾人群

環境態勢

戰略

戰術

成功的衡量標準

在規劃的早期階段,任何提高意識的運動中,在每一點上展開,繪制利益相關者的地圖十分重要。在任何一個特定的國家,都有廣泛的利益相關者對改善網絡安全感興趣。這些機構包括其他政府機構、ISP、軟件和IT公司、大學、電信公司、投資機構、教育機構和非政府組織。在計劃的早期階段與利益相關者進行接觸,確保他們的想法和經驗能貫穿整個活動。應根據與活動重點領域相關的專業知識和職責來選擇要參與的利益相關者。相關人員的早期參與也可能增加進一步支持和參與方案的可能性,例如通過在信息傳播方面提供進一步的資源和幫助。

開展網絡安全意識宣傳活動的下一個階段是確定活動的目標,該目標與受眾群體和環境態勢密切相關。重要的是確定活動的目標人群,然后調查該目標群體的現有能力、需求和可用資源。從這些資料可以確定提高意識運動的目標。這些措施可能包括:減少網絡安全事件的數量,改變人們對網絡安全的態度和行為,或者對購買新的計算設備有更批判性的理解。受眾可以通過多種不同的方式定義,其粒度大小各不相同,如下面的圖3.1所示。

image.png

然后,應制訂一套宣傳活動的戰略和戰術,描述什么方法可以使目標受眾具有環境態勢的意識,以達到宣傳活動的目的。戰略應該概述實現給定目標所需的高級路線圖,而戰術應該詳細描述所需的具體步驟。這包括交付平臺、所需的活動和資源,以及完成的時間表。

image.pngimage.png最后,在實施宣傳活動之前,應考慮如何衡量宣傳活動是否成功。執行時應定期衡量成功和重新評定目標、戰略和戰術。這將在隨后的網絡安全意識提升運動和學習有效性的能力建設步驟中進一步詳細討論。

image.png

為公營、私營、學術及民間團體部門的管理人員,設計有關網絡安全的專門資訊、培訓及演練計劃,并提供界定清晰的學習成果

清晰的領導方式和來自高層的資金,是推動內外組織轉變行為方式的一個重要因素。為特定行業的高管開展定制化意識宣傳活動項目,是一種實現高層參與的方式,這有助于確保在整個組織內分配充足的動力和資源,以改善網絡安全。高管提高意識運動的發展應該遵循之前提到的八個步驟,識別利益相關者,確定目標,定義一個群體,進行情景分析,設計戰略,開發戰術以及成功的度量標準,每一步的輸出都將根據更明確的目標和結果進行調整。

image.png

評估網絡安全意識提升活動和學習的有效性,并根據結果審查現有舉措

衡量網絡安全意識運動的有效性可能不是件簡單事,尤其是在試圖評估行為變化時。然而,研究表明,無法評估網絡安全意識宣傳活動是其常見特征之一。重點是衡量提高意識運動和對學習干預的成功率,因為這將使干預小組能夠監測實現既定目標的進展情況,并在出現偏差時進行必要的調整。在以后設計干預措施時也可以吸取教訓。

進行有效評價需要采取若干步驟,如:

根據活動的最終目標設定中期目標。如果兩者之間的因果關系得到了很好的證明,中期目標在于監測干預的進展情況,并使活動管理人員能夠預測干預是否朝著實現最終目標的軌道在進行。

確定將衡量哪些輸出、成果和影響。輸出是活動的有形產品(例如,推出一項活動或網站,或舉辦研討會、課程、比賽等),而成果是這些活動的結果(例如,參與活動、提高對主題的認識等)。一項活動的影響關系到干預和所觀察到的結果間的因果關系(即網絡安全思維的形成在多大程度上可以歸因于特定的活動)

確定哪些指標將用于衡量產出、成果和結果。這應根據活動的規模,從定量和定性兩方面,以及數據的適用性和有效性來進行。定量數據顯示了變化發生的程度,并且可以用數據來衡量(例如文章的數量、網站的訪問量、活動的參與者數量等)。定性數據著眼于態度、觀點或感受的變化,可以通過訪談、焦點小組和社交網絡分析等方法收集。

確定收集數據的來源。這包括社交媒體、網站訪問、采訪、媒體報道、活動參與等。

image.png網絡安全意識提升活動的評估指標應在活動實施前確定,示例見下表3.1.1。

image.png

定期評估公共服務、私營機構和廣大會成員的良好實踐與網絡行為之間的匹配度

除了評估提高個人網絡安全意識的活動之外,定期評估公共和私營部門的個人網絡安全意識與行為也可用于了解社會層面上的現有能力和未來趨勢。為了隨著時間的推移發展網絡安全運動,應開展研究,以確定不同目標群體在理解網絡安全實踐方面的差距,并且要對更廣泛領域進行關注。

政府研究部門以及學術研究機構將在這一領域有所作為。在此背景下進行的研究應側重于國家網絡生態系統和網絡安全習慣的各個方面,例如針對特定國家背景和目標受眾(如一般公共部門、公共部門員工、私營部門員工)調查以下研究問題:

這個國家的網絡連接狀況怎么樣?

大家從哪里可以上網、如何上網,有那些人在上網?

互聯網對于業務幫助如何?

國家正面臨哪些網絡安全風險?

網絡威脅造成了什么經濟損失?

image.png

調控網絡安全意識課程的提供和認證,使其成為絕大多數行業高管的必修課程

監管和意識課程認證是有效的工具,可使高管們接受網絡意識課程,并確保這些課程足以滿足他們的需要。

image.png如沒有適當的、被認可的機構,則可成立以非盈利或營利為目的的機構,又或政府機構等。重要的是,確定要承擔此項任務的組織最適合哪類法律地位。

image.png一旦確定后,就必須通過作為計劃評價指導的評定標準。為確保評審過程的透明度,評審機構應經常公布評審所依據的框架或標準。

image.png



取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗