基于胜任力模型为集团企业构建动态信息安全培训课程体系集团型企业经常会遇到:“在和运营商的交流、讲标中,会议后发现竞争对手利用酒店人员将录音设备安装在会议现场,造成技术机密和商业机密被对手掌握。员工事先没有意识检查会场。”“IT部门发现有人通过电子邮件将招投标和技术解决方案发给不明厂商。”“有员工发现同部门或其他部门出现安全事故的时候,靠感觉去决定处理流程。”“公司的临时工只有劳务协议,但是临时工同样可以接触到公司的部分核心机密。人员安全包括安全工作实施,安全培训和安全事故响应流程。人员安全应关注于工作责任的定义和单个雇员的监控。汇哲总结:员工安全培训少,只有特定的职位有培训。员工没有普遍的安全意识,安全技能严重不足。新员工需签保密协议。公司有职位和角色的定义,对违反规定有处理措施。总的来说,公司有不完善的安全制度,但无细化到可执行的文件。没有处理流程,只根据突发事件处理。职务说明书内没有明确岗位的安全职责,岗位的安全级别简单与行政级别挂钩。不利于员工的自觉遵守。-----摘自某集团型企业信息安全现状分析信息安全培训长期被集团型企业认为是“重要不紧急的”,如何将培训提升为企业“重要紧急的”,需要解决:高级管理层的困惑:员工信息安全知识水平跟不上公司发展需要,严重影响公司业务正常运行;业务部门、技术部门、人力资源部每年制订各种信息安全培训计划,信息安全培训规划思路凌乱,缺乏系统性;公司花费大量资金和宝贵时间举办培训课程用于提高员工信息安全素质,结果:培训经费年年递增,公司白花钱,组织者空耗精力,只提高了培训覆盖率,培训效果不明显,问题到底出在哪儿……人力资源部的苦恼:信息安全培训课程少,层次低,一般在业务或技术部门内部进行,没能在公司级或部门间进行资源整合;信息安全培训内容不全面,集中在产品、操作技能培训,缺乏系统性,没有与员工职业生涯规划相结合;信息安全培训运营制度体系不完善,没有对信息安全培训从项目策划、课程开发、师资选拔、效果评估全过程形成闭环管理……业务部门和技术部门的疑问:信息安全培训以人力资源部门推动为主,没有与业务和技术部门的需求紧密结合;信息安全培训课程新瓶装旧酒,没有创新和改变,培训内容和质量不能跟上业务和技术发展的需要;信息安全培训没有验收,每次都像走过场,越来越流于形式……员工的抱怨:信息安全培训内容单薄,“木桶短板”讲了好几年,枯燥乏味;信息安全培训形式,填鸭式教学,照本宣科,学习积极性不高;信息安全培训课程体系缺乏针对性,对实际工作指导性不强……目前大多数集团型企业已经开展信息安全培训,遇到的相同问题---效果不理想,主要原因是信息安全培训内容不能符合企业、岗位及员工的具体需求,缺乏有效的信息安全培训课程体系,不能适应信息安全培训长期发展的要求。信息安全培训课程体系建设对信息安全培训项目的实施具有指导性、引领性,如何构建合理有效的、符合集团型企业、岗位以及员工个人发展需求的信息安全培训课程已经列入集团型企业信息安全培训管理者的工作日程。一.基于胜任力模型构建信息安全培训课程体系特点培训与发展是胜任力模型最核心的作用之一,胜任力模型是企业设计信息安全培训课程体系的重要依据。基于胜任力的信息安全培训课程体系分析,以公司人力资源战略规划为指导,以岗位胜任力模型为基础,以系统、持续地提升队伍信息安全管理素质和能力水平为目标,构建较为系统、科学的信息安全培训课程体系。基于胜任力模型构建的信息安全培训课程体系,具有以下特点:(1)基于岗位胜任力模型的信息安全培训课程体系使信息安全培训更具有战略导向性企业信息安全培训课程的设置,必须按照公司发展战略纲要及人才队伍建设要求,围绕集团型企业中心工作,以各单位和集团各部门的信息安全管理需求为基础,同时考虑个人职业发展规划与集团型企业信息安全管理战略目标的融合。只有根据企业信息安全管理战略规划,结合人力资源发展战略,才能量身定做出符合本企业持续发展的有效信息安全课程体系。岗位胜任力模型的建构对组织环境、组织变量、优秀员工与绩效相关的关键胜任特征进行分析,因此,基于岗位胜任力的信息安全培训课程体系,使个人职业发展规划与公司信息安全管理战略目标相融合,具有战略导向性。(2)基于岗位胜任力模型的培训课程体系使员工培训更具有时效性和针对性基于胜任力模型的信息安全培训课程体系,依据所建构的胜任力模型为标准,针对每一职业发展阶段所需要的关键性胜任特征来开展信息安全培训工作,可以使信息安全培训更具针对性。同时,充分考虑员工目前的绩效现状,针对不同的绩效水平、个人能力和发展计划制定不同的信息安全培训课程计划,使课程序列的安排具有循序渐进性,并遵循由浅入深的原则,具有一定的时效性。(3)基于岗位胜任力模型的信息安全培训课程体系使员工培训更具有超前性和递进性企业信息安全培训是为企业发展服务的,培训要满足企业在人力方面对信息安全的需求。市场环境瞬息万变,但是培训人才有其自身规律,也有一定的周期。基于岗位胜任力的培训课程,从员工个体发展的需求出发,针对不同职位的不同层级设置具体的信息安全培训课程体系,满足了员工职业生涯的持续性发展需求,具有一定的超前性和递进性。二.基于胜任力的信息安全培训课程体系建设步骤与传统基于岗位的培训体系不同,基于胜任力的信息安全课程体系依照胜任力模型的要求,对成员承担特定职位所需的信息安全关键胜任力进行分析,确定个体和组织整体胜任力水平,根据差距确定员工的培训课程体系,进而提高人力资源对组织信息安全战略的支持。具体步骤如下:(1)建立静态岗位信息安全胜任力模型胜任力是一个复杂而颇具争议的概念。1973年著名心理学家、哈佛大学教授McClelland最早提出了“competencY”的概念。目前公认的观点认为胜任力是指和绩效指标存在因果关系的个人潜在特征,它能够可靠有效地将某一工作(组织、文化)中表现优异者与表现一般者区分开来。胜任力模型(CompetencyMode1)是指为完成某项工作,达成某一绩效目标所具备的一系列不同胜任力要素的组合,包括不同的动机表现、个性与品质要求、自我形象与社会角色特征以及知识与技能水平。对于个人和组织而言,这些胜任力被认为是长远的更为重要的因素。在进行基于胜任力的信息安全培训需求分析时,首先,要明确分析目的。人力资源部门需要了解企业总体信息安全培训规划和信息安全胜任力结构特征。其次,不同层次、不同岗位信息安全培训需求分析应采用不同水平的信息安全胜任力结构。在确定信息安全胜任力结构时,应结合基于研究、战略和企业文化价值的三种思路。运用头脑风暴法进行集思广益,并采用360度评价确定最后的信息安全胜任力结构。另外,对组织变量、环境、技术等因素的考虑不可或缺。这样,最终的信息安全胜任力结构就比较具体,并具有明确的针对性,可以保证信息安全培训需求分析更为准确有效。静态岗位信息安全胜任力模型,根据组织架构说明书和岗位说明书,对员工信息安全能力进行不同层次的定义以及相应层次的行为描述,确定达到岗位信息安全对应层次的要求,应该具备的信息安全核心能力、技术能力以及完成特定工作所需求的熟练程度。静态岗位信息安全胜任力模型包括一个人在其职务角色、组织内及其内部与外在环境中的责任与关系上,达成令人满意或楷模绩效所需要的信息安全胜任力。构建静态岗位信息安全胜任力,可以从以下几个方面着手:首先系统研究企业未来发展战略,通过与领导层访谈获得企业对信息安全的实际需求,并从企业实际情况出发,将员工按管理职位、专业职位的不同,划分不同的等级,分析企业战略对各级各层岗位人员信息安全方面的要求。其次,分析各岗位职责要求,深入研究确定各岗位胜任本职岗位需具备的信息安全胜任力(包括态度、技能、知识)。根据岗位的具体要求,对从事该岗位工作的员工进行分析研究,综合运用行为事件访谈法、专家小组讨论法、问卷调查法,分别从高绩效和绩效普通的员工中随机抽取一定数量的骨干和专家,具体表述工作中最成功和最不成功的具体案例,对访谈集进行深入分析、技术处理、统计整合,最终抽象提炼出不同岗位的胜任力要素的行为特征。而后,通过对国际一流公司同岗位同职责人员的信息安全能力分析,寻找出国际一流公司同岗位人员具备的信息安全胜任能力。第三步,在深入研究分析上述资料的基础上,归纳各胜任要素的典型行为特征,并分别描述出不同等级的行为特征,实现信息安全胜任力模型从抽象概念到具体行为的重要转变。另外,对资料进行整理、归类、分级,形成对行为特征的情景素材支持,使信息安全胜任力模型成为形象的、可衡量的行为事件素材,最终建立起满足公司科学发展所需的岗位信息安全胜任力模型。(2)构建每个岗位的静态信息安全培训课程体系信息安全课程体系是信息安全培训体系的子系统,是企业为达到信息安全培训目标可以提供的课程资源,以满足所对应的一切信息安全培训需求,包括:课程架构、课程内容、课程形式和课程安排等。基于岗位信息安全胜任力的培训课程体系是长期的、系统的有计划的课程体系,逐步发展员工的技能,使员工能够应付个人在组织发展过程的每个阶段,主动的课程体系是适应性强的,包含了适应未来的培训需求。静态的信息安全培训课程体系,是指针对岗位信息安全需求,达到岗位信息安全胜任能力必须掌握的课程内容,是与岗位同时存在的,针对岗位信息安全需求而产生的,表现为组织层面和岗位层面的信息安全课程体系。如何建立静态的培训课程体系,从以下几个方面入手:首先,逐层分解每个岗位信息安全胜任能力,细分获得二级乃至三级能力项,在此基础上,深入剖析各胜任要素的内涵、外延、行为特征、行为案例素材,将之分解为不可再分的“最小单元知识点”,这样,一个信息安全胜任能力可能分解成多个最小单元知识点。其次,对最小单元知识点进行汇总、归类、合并、归纳、总结提炼。结合各岗位在各要素上的侧重点差异,分别设计对应的课程目录,最终完成基于胜任力模型的静态信息安全培训课程体系。第二,对每个课程的内容进行设计和定义,制作《课程描述》文件,内容包括:课程名称、培训主题、课程目标、课程内容、培训对象、培训方式、课程实施建议等。第三,课程分层分类,依据不同发展阶段上的员工特点和需要,对课程进行合理的分布与组合,梳理课程间的逻辑关系,形成分层、分类的信息安全课程体系。基于胜任力模型开发的信息安全培训课程体系,设定了每一职业发展阶段所需要的信息安全技能培训和专业培训,建构了每个具体岗位明确的信息安全课程方案,使信息安全培训课程的针对性和体系化更强。静态的信息安全课程体系展现的是一张完整学习地图,给出了一名员工从新人入职到高级经理的完整学习路线图,体现了战略性的信息安全人力资源开发。(3)分析员工动态的岗位信息安全胜任力模型,确定动态信息安全培训课程体系静态的信息安全培训课程体系是在基于岗位信息安全胜任力的基础上进行开发和设计,动态的信息安全培训课程体系与员工动态的岗位信息安全胜任力需求相对应,是指具体员工到了指定岗位后,该员工现有能力与其岗位信息安全胜任能力之间的差距,根据此差距,确定需要开设的信息安全培训的课程体系。此信息安全课程体系是针对员工的具体信息安全需求产生的,为员工个人层面的信息安全培训课程体系制定动态的信息安全培训课程体系,首先要确定员工动态岗位信息安全胜任力。胜任力模型明确地界定了员工具备高绩效信息安全所必需的行为特征,帮助员工了解自己的信息安全胜任力水平和改进点。因此,信息安全胜任力模型建立起来以后,要组织调查小组进行广泛深入的调查研究,对员工目前的岗位信息安全胜任能力进行测评,即对目前在岗人员按照岗位信息安全胜任力模型进行个人胜任特征的测评,以确定各级各类在岗人员的信息安全胜任程度,即建构员工的动态岗位信息安全胜任力模型。通过对现有任职人员的信息安全胜任能力评估,发现每一个个体的能力优势和弱项,以及确定各级各类人才能力现状与胜任能力模型的差距,绘制各级各类人才信息安全能力缺口图。其次,并以员工动态信息安全胜任力模型为出发点,确定具体信息安全培训需求。基于岗位信息安全胜任力模型来分析信息安全培训需求,可以更好地提高信息安全培训需求分析与组织战略目标的一致性,避免盲目培训带来消