网络安全培训和意识政策
范围
所有涉及校园内社区成员的财务和行政政策, 包括志愿者在内,都在这项政策的范围内. 如果在部门期望和大学政策中描述的共同方法之间存在差异, 学院将依靠校园社区, 支持包括志愿者在内的大学政策的精神和目标. 除非学校政策里特别提到, 学院的董事会受其章程管辖.
政策
- 新员工必须在聘用后30天内完成指定的意识培训项目.
- 所有员工必须每年完成指定的意识培训计划. CC将通过定期的社会工程练习来测试安全意识培训计划的有效性.
- 专业培训:部分部门, 喜欢人力资源, 金融, 领导, 安全管理, 而且它, 可能有独特的安全需求. 如果你在这些团队中,你可能需要额外的培训. 行政当局将具体说明这些需要, 培训应与一般安全意识培训在同一时间内完成.
- 在某些情况下可能需要补充培训:
- 与个人抄送账户有关的安全漏洞.
- 通过在模拟网络钓鱼测试中进行以下一项或多项活动来定义的模拟安全挑战失败:
- 点击钓鱼测试中的链接
- 打开来自网络钓鱼的附件
- 回复钓鱼测试邮件
- 在钓鱼邮件登陆页面输入数据
- 传送任何信息作为钓鱼(电话钓鱼)测试的一部分
- 工作职责的重大转变需要更高的安全知识.
程序
未能完成培训的后果
- 如果员工错过了安全培训的截止日期, ITS将要求员工的直接主管/学生行为办公室强制该员工接受培训,并在账户暂停之前将截止日期延长两周.
- 如果最终用户没有在两周内完成培训, 主管将提交ITS服务票据以暂停最终用户的帐户.
- 如果主管未能提交维修单, ITS仍将暂停最终用户的账户,并通知主管.
- 恢复访问权限, 最终用户必须联系ITS解决方案中心并说明他们需要访问才能完成培训.
- 一旦恢复访问,就有48小时的时间来完成培训. 如果不这样做,将导致再次暂停.
- 后续重新激活需要获得人力资源/学生行为办公室或直接主管的批准.
通过模拟演习进行安全测试
时不时地,我们会模拟潜在的威胁. 这些可能是欺骗性的电子邮件(网络钓鱼),误导性的电话(网络钓鱼)或现场评估. 把它看作是一次“练习演习”,看看我们能在多大程度上识别出假货.
- 测试时间安排确切的时间还无法预测. 就像现实世界中的安全威胁在我们最意想不到的时候突然出现一样,我们的测试也会如此. 它让我们保持警觉!
- 测试科目虽然每个人都会接受检查, 有时我们会把镜头对准特定的部门或个人, 尤其是当我们注意到一个特定的风险时.
- 目的在我们的“训练”之后,我们看看我们做得如何. 任何打嗝? 我们会提供更多的培训. 这一切都是为了确保每个人都知道如何避开现实生活中的难题.
保安演习表现欠佳
- 任何失败都将要求额外的培训或指导
- 反复出现的不足将导致主管通知和加强指导措施
- 累积三个连续的“通过”评估将开始降低训练强度
什么是“失败”??
一般, 以任何方式与实际的网络钓鱼消息交互都会损害CC(除了打开它之外), 这在很多情况下是不可避免的). 我们需要你能够区分网络钓鱼信息和合法信息, 因此,我们的测试是基于已转化为测试的真实网络钓鱼消息. 因此,在我们的测试中,出现以下任何一种情况都是失败的.
- 没有按时完成规定的培训
- 没有通过安全测试(那些假的“演习”电子邮件或电话)
- 安全测试失败的例子:
- 点击测试邮件中的链接.
- 回复邮件的任何细节.
- 打开假附件.
- 在测试附件中打开宏.
- 在假的考试网页上填写详细信息.
- 在虚假电话中分享任何信息(钓鱼).
- 即使在一次测试中有许多错误,我们也只将其视为一次“失败”."
有时,我们可能会认为记录的“失败”是一个错误. 如果发生这种情况,对你不会有不利影响.
下表概述了失败的惩罚. CC ITS团队可能会采取此处未列出的措施来降低个人进入赌博正规的十大网站的风险.
|
失败数 |
补救行动的结果水平 |
|
第一次失败 |
根据员工角色分配的补充培训的强制性完成, 违反政策, 或由保单持有人自行决定. |
|
第二次失败 |
主管通知. 员工参加二级补习培训. |
|
第三次失败 |
员工和主管参加CC ITS的现场培训和安全咨询. HR开始对违反政策的行为采取纠正措施. |
|
第四次失败 |
与员工、主管、CIO和人力资源总监进行面对面的会议. 额外的培训/技术控制由行政当局酌情决定. 人力资源部推进政策的纠正措施. |
|
第五次及以后的失败 |
由人力资源部发起的正式纪律处分, 包括但不限于暂停和/或终止. |
擦除以前的失败
这项政策的首要目标是教育,而不是惩罚. 认识到错误可以是转变的学习机会, 公司有规定让员工纠正过去的错误:
- 在我们的安全测试中获得三个连续的“通过”评价.
- 主动报告可能危及大学安全的模拟或真实的网络钓鱼企图.
- 完成指定的培训模块,使COO或CIO满意.
什么才算“通过”
在CC,当我们的团队成员采取正确的步骤时,它被标记为“通过”.你可以这样做:
- 培训在规定时间内完成安全意识培训.
- 识别虚假攻击:如发现钓鱼邮件,请将邮件转发至 its@uni-foodex.com 上面写着"诈骗报告"
- 避免错误: 在安全测试中不出错(比如不轻信我们的测试邮件)就算是通过了.
本节概述了可能增加CC员工风险概况的各种场景. 那些具有高风险特征的人可能要接受更高级的社会工程测试,并可能接受更频繁或更专业的培训和测试.
- 该员工的电子邮件出现在最近的电子邮件暴露检查报告中.
- 该员工担任高管或副总裁的角色,使他们成为高价值目标.
- 该员工有权访问大量CC机密数据.
- 员工使用他们的个人手机进行工作任务.
- 员工可以访问大量受保护的健康信息(PHI).
- 员工的公开个人信息可以在互联网上访问.
- 该员工此前曾成为信息安全漏洞的受害者.
- 该员工多次违反CC政策.
责任和义务
信息安全的结构化方法对组织至关重要. 以下是与此策略相关的角色和职责的细分:
首席信息官:
- 负责组织有效的安全意识和培训计划.
- 确保所有员工都了解并准备好保护组织和社区成员的数字资产.
资讯科技服务:
- 制作和维护信息安全指南的广泛集合, 它包含了这个政策.
- 与其他部门合作,以促进适当的意识和培训课程. 这些会议的目的是使工作人员了解他们的职责, 正如各种政策所概述的那样, 规定, 合同, 和更多的.
经理:
- 确保其职责范围内的团队积极参与安全培训和意识活动.
- 确保所负责的所有员工都及时接受必要的培训.
所有员工、承包商和志愿者:
- 亲自负责完成所有授权的安全意识培训模块.