【编者按】2024年10月18日至25日,中国证监会根据国际证监会组织(IOSCO)统一安排开展“2024年世界投资者周”活动。活动结合“科技和数字金融”和“可持续金融”两大主题,重点围绕深入贯彻党的二十届三中全会、中央金融工作会议精神和新“国九条”部署要求展开。协会在中国证监会的指导下组织“基金行业在行动”主题投资者教育活动,并邀请各会员单位积极参与。现对相关主题的优秀投教作品持续进行转载宣传。
摘 要
施罗德基金管理(中国)有限公司(以下简称“公司”)在网络和信息安全三年工作规划中涵盖了安全培训及安全意识强化计划,针对公司员工实施差异化培训(针对新员工、全体员工、信息技术人员及高级管理层提供定制化培训),并结合日常安全意识教育邮件和国家网络安全宣传周活动,有效提升全员安全意识。公司将持续优化安全培训和意识教育体系,为公司的长期发展提供坚实的安全保障。
关键词:网络和信息安全培训,网络和信息安全意识教育,安全培训和意识教育体系构建
一、背景意义
公司深知网络安全是金融行业发展的基石,是保护投资者利益、维护市场稳定的重要保障。因此,我们始终将网络安全工作置于公司战略发展的核心位置,在筹建及正式运营期间持续投入资源,不断提升网络安全管理和技术防护水平。尽管公司已部署了纵深防御的安全防护体系,但员工的安全意识同样是维护网络和信息安全不可或缺的一部分。公司信息技术部根据相关法律法规要求,结合行业最佳实践,于2023年完成了公司2023-2025 年网络和信息安全三年工作规划。规划中专门制定了安全培训及安全意识强化计划,旨在提升公司员工的网络和信息安全意识,构建一个更加安全、稳定、高效的网络环境,为公司的持续发展保驾护航。
二、主要做法
为全面提升公司不同人员的网络和信息安全意识,公司网络和信息安全三年规划中的安全意识培训强化计划主要从安全培训及安全意识教育两个领域进行了体系构建及落地:
(一)网络和信息安全培训
在公司已有的针对全员的线上年度信息安全培训、考核的基础上,信息技术部信息安全团队根据不同培训对象进行了差异化的培训体系构建。针对新员工、信息技术人员以及公司高级管理层设计制定了不同的信息安全培训材料及培训方案,并按计划开展了相关培训,具体如下:
1.新员工培训
为新加入的员工打下坚实的信息安全基础,确保他们了解公司的安全政策和最佳实践。培训内容主要包括:介绍公司信息安全政策与流程,包括数据分类分级、密码管理、访问控制等;讲解常见网络威胁,如钓鱼邮件、恶意软件、社交工程等,以及识别和防御这些威胁的方法;强调个人信息保护的重要性,包括如何安全处理客户信息,避免数据泄露;培训如何使用公司的信息技术资源,包括安全的网络使用习惯、合规的软件安装流程等。
2.信息技术人员专业培训
公司每半年针对信息技术团队提供更深入、更专业的安全知识和技能,使他们成为公司信息安全的中坚力量。培训内容主要包括:公司网络和信息安全治理架构;构建公司的网络和信息安全纵深防御体系所使用的工具和技术;公司应急响应与灾难恢复计划;特权账号的管理和最佳使用实践;生产变更控制流程等。
3.高级管理层的专项培训
公司针对高级管理层提供年度专项培训,以提升管理层对网络和信息安全战略重要性的认识,使其在决策层面能够充分考虑安全因素,强化高级管理人员应对社交工程、业务邮件欺诈等方面的信息安全意识。培训内容主要包括:信息安全的最新趋势和挑战,以及对公司运营的潜在影响;信息安全治理,包括如何制定和执行安全策略,建立安全管理机制;信息安全投资决策,了解安全投入的必要性和效益,以及如何平衡安全与成本;网络安全危机的处置流程等。
(二)网络和信息安全意识教育
公司信息技术部2024年度已发送网络和信息安全意识教育邮件共11封。相关意识教育邮件既包含针对时下热点的基础安全意识教育(如“公共AI服务使用指南”),也包含了针对行业内或公司安全防护工具检测到的特定攻击的针对性安全意识教育(如“警惕新型钓鱼邮件-二维码钓鱼”,“防范钓鱼邮件的最佳实践”等),还包含了针对特定对象(安全意识薄弱的用户)的专项安全意识教育(如“保持工作站补丁的更新”,“密码安全管理最佳实践”等)。此外,公司还充分运用2024年国家网络安全宣传周这一关键抓手,积极组织开展了一系列网络安全活动,旨在提升公司全体员工的网络安全意识,公司于2024年9月9日、9月11日及9月13日分别向全体员工发送了主题为“国家网络安全宣传周安全宣贯:密码安全”,“国家网络安全宣传周安全宣贯:识别恶意链接(URLs)”,“国家网络安全宣传周安全宣贯:个人信息保护”的网络安全意识教育邮件,相关宣贯内容详实,并针对不同的网络安全风险及安全应对实践提供了深入浅出的说明。
三、实践成效
通过多层次、全方位的信息安全培训及信息安全意识教育,我们不仅提升了全体员工的个人安全意识,还构建了公司内部的信息安全文化。新员工能够迅速融入公司安全环境,信息技术团队的安全专业技能显著提高,全体员工的可疑邮件上报率较2023年有了显著的提升,而公司高级管理人员则在于公司开展的年度网络安全桌面应急演练中就勒索软件感染及爆发、数据泄露等演练场景下的应急处置、响应及决策等进行了模拟,为公司进一步优化现有网络安全应急预案提供了有力的支撑,同时验证了专项培训的成效。
四、经验启示
我们深知,网络和信息安全是一个不断演变的领域,因此,信息安全培训及意识教育体系也需要持续优化和升级。公司信息技术部将密切关注网络威胁的最新动态,定期更新培训及意识教育内容,引入更多实战演练和案例分析,以增强员工的应对能力。同时,我们还将探索与外部安全专家合作,引入更前沿的安全知识,确保我们的安全培训和意识教育体系始终处于行业领先地位,为公司的长期发展提供坚实的安全保障。
通过这些精心设计的安全培训以及意识教育,我们将营造一个全员参与、共同维护的网络和信息安全环境,让每一位施罗德员工都成为信息安全的守护者,共同构建一个更加安全、稳定、高效的网络生态。
免责声明
本文仅为投资者教育之目的而发布,不构成任何投资建议。投资者据此操作,风险自担。协会力求本文所涉信息准确可靠,但并不对其准确性、完整性和及时性做出任何保证,对因使用本文信息引发的损失不承担责任。
