网络安全能力成熟度模型的第三维度着眼于高质量网络安全教育、培训和提高认识的活动在全国的可行性,以及开发和实施这些活动的能力。这包括向政府各利益相关方、私营部门和一般民众提供教育和培训。
PS:报告中淡紫色方框是对本段内容重点的提示、面临挑战和补充,淡蓝色方框是现行的一些最佳实践(政策、活动等)、橘黄色方框是要政府要着重关注的点、末尾灰绿色方框是本节报告所参考的资料。由于一些敏感词会背屏蔽,有些词会用其他字代替,各位请自行意会。
之前两个维度,请参考个人以往发表的文章。
第三维度简介
网络安全能力成熟度模型的第三维度着眼于高质量网络安全教育、培训和提高认识的活动在全国的可行性,以及开发和实施这些活动的能力。这包括向政府各利益相关方、私营部门和一般民众提供教育和培训。
GCSCC CMM的这个维度包括三个要素。以下各节将讨论国家决策者在这些问题领域建立能力可采取的能力建设步骤,这些步骤包括:
1. D3.1 – Awareness raising
这一要素关注针对公共、私营、学术和大众社会部门以及公众利益的网络安全意识规划和倡议可行性、提供能力以及被接受的情况。。
2. D3.2 – Framework for cybersecurity education
该要素的重点是,在中小学和高等教育阶段提供网络安全教育的有效性和可行性。
3. D3.3 – Framework for professional training
该要素的重点是,提供专业网络安全培训,用以培养网络安全专业骨干人才,包括通过组织内部的横向和纵向网络安全知识转移,以及通过持续的技能提升。
正文
Dimension III : Cybersecurity, education, training and skills
D3.1 – Awareness raising
概述
该要素重点关注针对公共、私营、学术和民间团体部门以及公众利益的网络安全意识项目和倡议的可行性、提供能力以及被接受的情况。
从根本上来说,网络安全意识构成了一种共识,即网络空间从根本上是不安全的,恶意行为者可能在个人、商业、国家层面进行破坏或利用硬件、软件、行为和信息。然而,提高网络安全意识的目的是超越对网络安全意识的基本描述,在利益相关群体之间建立对网络安全更深入的理解。这背后的含义是:个人、组织和政府应该对参与其中的角色和动机有一个了解,如可能发生的各类网络攻击(包括对一些迹象的发现)、安全漏洞的潜在影响以及可以降低网络攻击频率和影响程度的方法。
网络安全意识与整个社会息息相关,包括以个人行、员工和执行力等行为方式。在个人层面,网络安全意识的提高可以更好地保护用户免受恶意软件、盗用、滥用个人信息和侵犯个人隐私等威胁。在员工层面也有类似的考虑,尽管在当前情况下,面临风险的主要是公司而非个人。在执行层面,管理者通常会控制更多的资源并拥有更大的影响力,因此在提升网络安全、制定和实施网络安全战略以减轻组织威胁(有时甚至是国家威胁)方面处于更加有利的地位。
网络安全意识的提高应针对所有受众,并能通过各种方式实现,包括一般性的意识宣传活动、有针对性的网络安全意识规划以及衡量影响和有效性并据此进行调整的意识宣传活动。表3.1概述了帮助提高国家层面的网络安全意识可采取的步骤。
能力建设步骤
指派一名负责人制定并实施一项提高网络安全意识的国家计划
为提高国家层面的网络安全意识,第一阶段是指派一位专门的负责人来制定网络安全意识规划。这通常会在国家网络安全战略中进行概述,由一个或多个政府机构负责提高网络安全意识的工作。被选定的机构通常已经以某种形式参与了国家级的网络安全工作。这有助于确保在提供信息和建议时具备足够的专业知识、基本情况以及合规性。在某些情况下,为了提高网络安全意识,已经建立了独立的组织或公私合作伙伴关系,用于替代内部政府机构或与其合作。由于各国的期望、需求和组织结构各不相同,应根据不同国家的情况指定任务负责人。
与不同部门的利益相关方协商,制定并执行提高意识的资料和方案
一旦指定了任务负责人,下一步就是设计和实施一项提高网络安全意识的活动。开展意识宣传活动的目的不仅是让目标受众了解网络空间的风险和缓解策略,而是改变他们的行为方式,使其能够以更安全的方式使用ICT(信息通信技术)。
在设计这项活动时,应考虑以下因素:
利益相关方
目标
受众人群
环境态势
战略
战术
成功的衡量标准
在规划的早期阶段,任何提高意识的运动中,在每一点上展开,绘制利益相关者的地图十分重要。在任何一个特定的国家,都有广泛的利益相关者对改善网络安全感兴趣。这些机构包括其他政府机构、ISP、软件和IT公司、大学、电信公司、投资机构、教育机构和非政府组织。在计划的早期阶段与利益相关者进行接触,确保他们的想法和经验能贯穿整个活动。应根据与活动重点领域相关的专业知识和职责来选择要参与的利益相关者。相关人员的早期参与也可能增加进一步支持和参与方案的可能性,例如通过在信息传播方面提供进一步的资源和帮助。
开展网络安全意识宣传活动的下一个阶段是确定活动的目标,该目标与受众群体和环境态势密切相关。重要的是确定活动的目标人群,然后调查该目标群体的现有能力、需求和可用资源。从这些资料可以确定提高意识运动的目标。这些措施可能包括:减少网络安全事件的数量,改变人们对网络安全的态度和行为,或者对购买新的计算设备有更批判性的理解。受众可以通过多种不同的方式定义,其粒度大小各不相同,如下面的图3.1所示。
然后,应制订一套宣传活动的战略和战术,描述什么方法可以使目标受众具有环境态势的意识,以达到宣传活动的目的。战略应该概述实现给定目标所需的高级路线图,而战术应该详细描述所需的具体步骤。这包括交付平台、所需的活动和资源,以及完成的时间表。
最后,在实施宣传活动之前,应考虑如何衡量宣传活动是否成功。执行时应定期衡量成功和重新评定目标、战略和战术。这将在随后的网络安全意识提升运动和学习有效性的能力建设步骤中进一步详细讨论。
为公营、私营、学术及民间团体部门的管理人员,设计有关网络安全的专门资讯、培训及演练计划,并提供界定清晰的学习成果
清晰的领导方式和来自高层的资金,是推动内外组织转变行为方式的一个重要因素。为特定行业的高管开展定制化意识宣传活动项目,是一种实现高层参与的方式,这有助于确保在整个组织内分配充足的动力和资源,以改善网络安全。高管提高意识运动的发展应该遵循之前提到的八个步骤,识别利益相关者,确定目标,定义一个群体,进行情景分析,设计战略,开发战术以及成功的度量标准,每一步的输出都将根据更明确的目标和结果进行调整。
评估网络安全意识提升活动和学习的有效性,并根据结果审查现有举措
衡量网络安全意识运动的有效性可能不是件简单事,尤其是在试图评估行为变化时。然而,研究表明,无法评估网络安全意识宣传活动是其常见特征之一。重点是衡量提高意识运动和对学习干预的成功率,因为这将使干预小组能够监测实现既定目标的进展情况,并在出现偏差时进行必要的调整。在以后设计干预措施时也可以吸取教训。
进行有效评价需要采取若干步骤,如:
根据活动的最终目标设定中期目标。如果两者之间的因果关系得到了很好的证明,中期目标在于监测干预的进展情况,并使活动管理人员能够预测干预是否朝着实现最终目标的轨道在进行。
确定将衡量哪些输出、成果和影响。输出是活动的有形产品(例如,推出一项活动或网站,或举办研讨会、课程、比赛等),而成果是这些活动的结果(例如,参与活动、提高对主题的认识等)。一项活动的影响关系到干预和所观察到的结果间的因果关系(即网络安全思维的形成在多大程度上可以归因于特定的活动)。
确定哪些指标将用于衡量产出、成果和结果。这应根据活动的规模,从定量和定性两方面,以及数据的适用性和有效性来进行。定量数据显示了变化发生的程度,并且可以用数据来衡量(例如文章的数量、网站的访问量、活动的参与者数量等)。定性数据着眼于态度、观点或感受的变化,可以通过访谈、焦点小组和社交网络分析等方法收集。
确定收集数据的来源。这包括社交媒体、网站访问、采访、媒体报道、活动参与等。
网络安全意识提升活动的评估指标应在活动实施前确定,示例见下表3.1.1。
定期评估公共服务、私营机构和广大会成员的良好实践与网络行为之间的匹配度
除了评估提高个人网络安全意识的活动之外,定期评估公共和私营部门的个人网络安全意识与行为也可用于了解社会层面上的现有能力和未来趋势。为了随着时间的推移发展网络安全运动,应开展研究,以确定不同目标群体在理解网络安全实践方面的差距,并且要对更广泛领域进行关注。
政府研究部门以及学术研究机构将在这一领域有所作为。在此背景下进行的研究应侧重于国家网络生态系统和网络安全习惯的各个方面,例如针对特定国家背景和目标受众(如一般公共部门、公共部门员工、私营部门员工)调查以下研究问题:
这个国家的网络连接状况怎么样?
大家从哪里可以上网、如何上网,有那些人在上网?
互联网对于业务帮助如何?
国家正面临哪些网络安全风险?
网络威胁造成了什么经济损失?
调控网络安全意识课程的提供和认证,使其成为绝大多数行业高管的必修课程
监管和意识课程认证是有效的工具,可使高管们接受网络意识课程,并确保这些课程足以满足他们的需要。
如没有适当的、被认可的机构,则可成立以非盈利或营利为目的的机构,又或政府机构等。重要的是,确定要承担此项任务的组织最适合哪类法律地位。
一旦确定后,就必须通过作为计划评价指导的评定标准。为确保评审过程的透明度,评审机构应经常公布评审所依据的框架或标准。
来源:freebuf.com 2019-11-18 14:51:04 by: 宇宸de研究室
请登录后发表评论
注册