Домен "Эксплуатация и сопровождение": процессы, отвечающие за безопасность, затраты ИТ и обучение пользователей

Цели контроля

DS 7.1. Определение потребностей в образовании и тренинге

Создание и регулярное обновление учебного плана для каждой целевой групп сотрудников учитывает следующие обстоятельства:

• Текущие и будущие бизнес потребности и стратегию.
• Ценность информации как актива.
• Корпоративные ценности (этические ценности, управление, культуру в области безопасности и т.д.).
• Внедрение новой ИТ- инфраструктуры и программного обеспечения (в том числе пакетов и отдельных приложений).
• Современные и будущие навыки, уровни компетентности и потребности в сертификации и аттестации, а также переаттестации.
• Методы организации обучения (в учебных классах либо посредством Интранет), размеры целевой группы и срок обучения.

DS 7.2. Проведение тренингов и обучения

Обучение и тренинг основываются на выявленных потребностях, определении целевых групп и их состава, эффективных механизмах организации учебного процесса, преподавателях, тренерах и наставниках. Следует назначить тренеров и заблаговременно организовать занятия. Также необходимо вести учет регистрации на обучение, посещаемости и оценок эффективности учебной сессии.

DS 7.3. Оценка результатов обучения

По завершении курса обучения провести оценку актуальности, качества, эффективности, уровня усвоения знаний, затрат и пользы. Результаты данной оценки должны служить отправной точкой при разработке будущих учебных планов и организации учебных сессий.

В работе по обучению персонала могут быть выделены следующие семь основных направлений:

1. Постановка целей обучения
2. Определение потребности в обучении
3. Определение содержания, форм и методов обучения и необходимых ресурсов
4. Выбор или подготовка преподавателей, инструкторов, тренеров, наставников, методистов
5. Проведение комплекса подготовительных мероприятий, в том числе подготовка положений и инструкций, регламентирующих процесс обучения или повышения квалификации разных категорий персонала, и назначение ответственных, формирование учебных групп
6. Проведение обучения.

   Текущий контроль за посещаемостью, обеспечение бесперебойной реализации учебной программы и обеспечение обучающихся всем необходимым
7. Оценка эффективности обучения

Обучение персонала является не тривиальной задачей. Более того, необходимость самого процесса не всегда очевидна для руководства. Вложение денег требуется здесь и сейчас, а прямой и явной выгоды бизнес не получает. Поэтому прежде чем платить за обучение, руководству необходимо четко определить цели обучения. Обучение сотрудников, не имеющее четко поставленных целей, может превратиться в пустую трату времени и денег. Цели и потребности в обучении служат ориентиром для создания обучающих материалов и руководств. Выявление потребности в обучении требует систематического анализа, основанного на стратегических задач организации и ее отдельных подразделений. Потребность в обучении отдельных работников вытекает из специфики выполняемых ими работ, интересами организации и индивидуальными особенностями. Они могут быть выявлены следующими способами:

• оценка информации о работниках, имеющейся в кадровой службе. Обучался ли уже сотрудник, какое у него профессиональное образование и работает ли он в той же области, получил ли сотрудник повышение, требующее повышения квалификации и т.п.
• аттестация сотрудников, которая может выявить как слабые, так и сильные стороны.
• анализ планов организации и отдельных подразделений, выявление направлений и проектов, требующих повышения квалификации персонала.
• сбор заявок на обучение от руководителей подразделений, которые лучше понимают потребности своих сотрудников и поставленные перед ними задачи;
• индивидуальные заявки сотрудников на прохождение обучения.
• опросы работников , например, анкетирование;
• экспертные оценки.

В крупных организациях, персонал которых больше 500 человек, правильно поставленный процесс обучения поможет эффективно использовать имеющиеся ресурсы и уменьшить затраты на персонал. Стандартизация процессов и накопление знаний приведет к "универсальности" работников одной области и исключит появление ситуаций, когда от одного специалиста будет зависеть критичный бизнес-процесс, то есть нивелирует человеческий фактор. В то же время обучение является наиболее действенным способом повышения ценности человеческих ресурсов и повышения отдачи работников.

Рассмотрим процесс на примере. Первое о чем необходимо заботиться – обучение новых пользователей. Возьмем электронную почту. Будет ли знать новый сотрудник, как ей пользоваться? Вероятно, он уже не раз пользовался каким-то сервисом по отправке писем, но:

• не работал с почтовым клиентом, используемым в Вашей организации;
• может не знать опций, которые упрощают работу с почтой (фильтрация, поиск и т.п.);
• никогда не использовал электронную подпись;
• не знает, как пользоваться адресной книгой;
• не знает, как настраивать антиспам;
• не знает, когда необходимо шифровать письмо, то есть не знаком с Политикой информационной безопасности;
• не знает, что не принято пользоваться корпоративным почтовым ящиком в личных целях (ИТ-политика).

Таким образом, даже электронная почта требует обучения новых сотрудников. Первое, что нужно сделать – составить перечень тем, которые будут затронуты в процессе обучения. Второе – выбрать способ обучения. Это может быть:

• вебинар;
• обучение с приглашенным тренером;
• самообучение (попросить пользователей прочитать руководство пользователя);
• и т.п.

Затем нужно определиться с расписанием обучения так, чтобы минимально препятствовать бизнес-процессам.

После обучения важно проверить результат. Допустим, Вы попросили пользователей пройти видеокурс или прочитать руководство. Но как убедиться в том, что они действительно сделали это и всё поняли? Лучше всего организовать тестирование в конце обучения.

Вторая задача процесса – обучение работающих сотрудников. Допустим, они уже давно работают с электронной почтой и знают основные функциональные возможности. Тем не менее, это не значит, что они знают всё и используют почту максимально эффективно. Можно проводить повторное обучение или же, например, делать электронную рассылку "как эффективно использовать Ваш почтовый ящик".

При обучении важно учитывать особенности работы с системой. Сотрудники ИТ должны знать одно, пользователи – другое, сотрудники отдела продаж – третье и т.п.

Какие бы деньги ни тратились на приложения, системы и технологии в конечном итоге работают с ними люди и именно от них зависит эффективность использования и получаемая при этом выгода. Именно поэтому необходимо уделять пристальное внимание обучению персонала.

Ключевые термины

Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.

Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Политика информационной безопасности (Security Policy) - система политик, процессов, стандартов, руководящих документов и средств, которые обеспечивают организации достижение целей обеспечения безопасности систем.