Опитът показва, че обученията не винаги се възприемат добре от организациите. Много често се случва да чувам изявления като: нашият персонал е компетентен и няма нужда от обучения, или това са неща, които се знаят, нямаме време за обучения и др. Когато говорим за обучения по СУСИ, положението не е по-различно. Най-често причината е в неразбирането на това какво представлява сигурността на информацията. Възможно е да сте създали перфектните политики или процедури, но ако те не се прилагат реално на практика, какъв е смисълът? Важно е служителите да са наясно защо е необходима сигурността на информацията и как да изпълняват техните задължения, така че да се постигне тази сигурност.
Изисквания
Изискванията по отношение на компетентността на персонала са посочени в т.7.2 от ISO/IEC 27001:2022. Те включват:
- определяне на необходимата компетентност на лицата, които имат отношение към сигурността на информацията. При разработване на СУСИ се определят отговорностите и пълномощията на лицата, които имат отношение към СУСИ. На този етап става ясно какви са необходимите знания и умения. Ако системата е вече внедрена, може да се наложи да се прегледат всички документи, за да се събере информация за необходимите знания и умения.
- гарантиране, че знанията и уменията са постигнати на базата на подходящо образование, обучение и опит. За наличните знания и умения на служителите, организацията трябва да разполага със съответните доказателства като диплома за завършено образование, сертификат/удостоветение/протокол за преминато обучение, документи, удостоверяващи опит на определена позиция.
- провеждане на обучения, за да се постигне желаното ниво на компетентност. Организацията не винаги разполага с идеалния служител, покриващ всички изисквания за компетентност за съответната длъжност. В такива случаи се планират и провеждат обучения за постигане на желаното ниво. Важен момент тук е оценяването на ефикасността на предприетите действия, т.е. дали след като е преминало съответното обучение, лицето е придобило необходимите знания и може да ги прилага на практика. Оценяването може да се извърши чрез решаване на тест, разговор/интервю, практическа демонстрация и др. Ако се установят пропуски се планира допълнително обучение. Процесът се повтаря докато организацията не се увери, че лицето е придобило необходимите знания.
Няма изрично изискване за документиране на планираните обучения, но е добра практика те да бъдат документирани в отделен документ – план за обучения.
Методи на обучение
Обученията могат да се провеждат под различна форма, като например:
- курсове по ISO/IEC 27001 – представяне на информация за различни направления, свързани със сигурността на информацията като ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 270018 и др.;
- самообучение чрез четене на различна литература за сигурност на информацията;
- участия в експертни групи или форуми;
- вътрешни обучения предоставяни от вътрешни или външни експерти.
Осъзнаване
Провеждането на обучения в организацията е свързано с осъзнаването на персонала – т.7.3 от ISO/IEC 27001:2022. Но, ако изброените по-горе методи на обучения дават отговор на въпроса „Как?“, то за осъзнаването е необходим отговор на въпроса „Защо?“. За да се обясни на служителите защо е необходима сигурността на информацията се използват малко по-различен тип методи на обучение, които имат за цел да привлекат тяхното внимание и да го насочат към разбиране и приемане на представената информация. Такива методи могат да бъдат:
- създаване на кратки презентации или видеоклипове с информация по темата за сигурността на информацията;
- провеждане на дискусии във вътрешната мрежа или чрез форуми;
- публикуване на статии в интранет или бюлетин на организацията;
- изпращане на имейли с актуална информация по темата;
- провеждане на редовни срещи за обсъждане на нови изисквания, политики, заплахи, инциденти, технологии и др.
За постигане на добри резултати е важно този тип обучения да се провеждат периодично, независимо от избрания метод или комбинация от методи.
Ползи от обученията
Когато служителите разбират защо и как да прилагат правилата за сигурност на информацията, организацията ще усети промяна в посока:
- по-добро и ефективно прилагане на правилата на политиките за сигурност;
- намалени разходи от инциденти или пробиви;
- по-висока степен на предпазливост от страна на служителите;
- подобрена репутация и по-голяма надеждност.
0 отговори на "Защо е важно обучението на персонала?"