我认识一家做通讯设备出海的武汉公司,他们的海外业务发展很快,每年都要往南亚和非洲派很多员工。但公司的保密培训做得比较简单,每次出发前开个会,发一份保密手册让大家回去看看。结果有一次,一个新外派到巴基斯坦的销售经理在出差期间在社交平台上发布了一张跟当地某政府官员的合影,配文还写了一些跟项目进展有关的内容。好在被国内同事及时发现后通知他删除了,否则后果不堪设想。这个平台发布的行为没有恶意,就是缺乏保密意识。而问题的根源就在于,出发前那本保密手册他根本没认真看。
外派员工的保密培训体系建设,是企业出海信息安全管理的基础工作之一。再好的制度、再先进的技术,如果执行这些制度的人没有保密意识,一切都是空谈。培训不是为了应付差事的走形式,而是要让外派员工真正理解保密对企业和自己的重要性。
外派员工保密培训体系应该是一个分层分批的持续教育过程。刚入职的新员工要接受基础保密培训,内容包括公司的保密制度、信息分类标准和基本的保密行为规范。这种培训应该在员工正式入职后一个月内完成,新员工在完成培训之前不得接触任何涉密信息。培训可以采取线下集中授课和线上视频课程相结合的方式,培训结束后进行考核,考核成绩作为正式上岗的必要条件。
外派前的专项保密培训是另一个关键的环节。在员工接到外派任务后到出发前的这段时间,进行一次针对性的加密培训。培训内容应该包括几个部分。一是目的地国家的信息安全形势和法律环境,包括哪些信息在当地受到特殊保护、哪些通信行为在当地是被禁止的、当地的执法机关在什么情况下可以调取个人信息。二是外派期间需要注意的特殊场景,比如在公共场所如何进行工作交流、如何应对社交工程攻击、遇到安全事件如何报告。三是外派期间使用的通讯工具和设备的操作规范,包括VPN的配置方法、加密通讯软件的使用方法、设备丢失后的应急处理流程。
情景演练是外派前培训中有效果的环节。纸上谈兵的培训不如让员工亲身体验一下真实的威胁场景。可以通过角色扮演的方式模拟一些常见的安全事件,比如在酒店被窃听、在展会中被社交工程攻击、在海关被检查设备。演练之后对员工的表现进行复盘,指出哪些应对正确、哪些需要改进。这种体验式的培训比单纯的宣教更能让员工印象深刻地记住安全带行为。
培训后对员工进行的考试不是形式主义。考试可以采取在线答题和现场问答相结合的方式,及格线设定在八十分以上,不及格的学员需要重新培训并补考,直至通过为止。通过考试的员工签署保密承诺书,承诺书的内容包括已知悉公司的保密制度、理解外派期间的信息风险、同意遵守所有保密规定。保密承诺书存入员工的个人档案,作为外派期间信息安全管理的重要依据。
外派期间的持续提醒和复训也不可或缺。人在境外久了,安全意识会逐渐淡薄。建议通过定期发送短信提醒的方式,在外派员工抵达目的地后的首要个月每周提醒一次,之后每月提醒一次。提醒内容不必很长,简单几条注意事项就够了。每半年对外派员工进行一次在线复训,内容可以结合最近发生的案例进行更新,保持培训内容的新鲜感和实用性。
外派员工的保密培训还有一个容易被忽略的方面:家庭成员的培训。很多外派员工不是一个人出去的,而是带着配偶和孩子。家人对于信息安全的认知往往比员工更薄弱,他们可能在不经意间通过社交媒体的分享或者是跟邻居、朋友的交流中泄露了员工的工作信息。有些企业已经开始为外派员工的家属提供简易的信息安全培训,让整个外派家庭都建立起基本的信息安全意识。
培训效果的评估同样需要制度化。每次培训后通过问卷调查了解员工对培训内容的接受程度。每季度通过随机抽查了解员工在实际工作中对保密要求的执行情况。每年通过安全事件统计来评估培训体系的整体有效性。如果发现某类安全事件频繁发生且跟员工的行为有关,说明培训内容可能需要针对性加强。
培训系统的持续优化也不可或缺。信息安全是动态发展的领域,攻击者的技术更新很快,保密制度也应该随之更新。培训的课程内容要定期更新,反映近期的威胁形势、近期的法律法规和近期的保护技术。培训体系本身也要定期评估和升级,根据业务发展和外部环境的变化作出调整。
外派员工的保密培训体系应该是一种持续投资的资源和价值,而不是一笔一次性的支出。培训跟信息安全防线一样,投入的越多,得到的安全保障就越多。
