Домен "Эксплуатация и сопровождение": процессы, отвечающие за безопасность, затраты ИТ и обучение пользователей
Цели контроля
DS 7.1. Определение потребностей в образовании и тренинге
Создание и регулярное обновление учебного плана для каждой целевой групп сотрудников учитывает следующие обстоятельства:
- Текущие и будущие бизнес потребности и стратегию.
- Ценность информации как актива.
- Корпоративные ценности (этические ценности, управление, культуру в области безопасности и т.д.).
- Внедрение новой ИТ- инфраструктуры и программного обеспечения (в том числе пакетов и отдельных приложений).
- Современные и будущие навыки, уровни компетентности и потребности в сертификации и аттестации, а также переаттестации.
- Методы организации обучения (в учебных классах либо посредством Интранет), размеры целевой группы и срок обучения.
DS 7.2. Проведение тренингов и обучения
Обучение и тренинг основываются на выявленных потребностях, определении целевых групп и их состава, эффективных механизмах организации учебного процесса, преподавателях, тренерах и наставниках. Следует назначить тренеров и заблаговременно организовать занятия. Также необходимо вести учет регистрации на обучение, посещаемости и оценок эффективности учебной сессии.
DS 7.3. Оценка результатов обучения
По завершении курса обучения провести оценку актуальности, качества, эффективности, уровня усвоения знаний, затрат и пользы. Результаты данной оценки должны служить отправной точкой при разработке будущих учебных планов и организации учебных сессий.
В работе по обучению персонала могут быть выделены следующие семь основных направлений:
- Постановка целей обучения
- Определение потребности в обучении
- Определение содержания, форм и методов обучения и необходимых ресурсов
- Выбор или подготовка преподавателей, инструкторов, тренеров, наставников, методистов
- Проведение комплекса подготовительных мероприятий, в том числе подготовка положений и инструкций, регламентирующих процесс обучения или повышения квалификации разных категорий персонала, и назначение ответственных, формирование учебных групп
- Проведение обучения.
Текущий контроль за посещаемостью, обеспечение бесперебойной реализации учебной программы и обеспечение обучающихся всем необходимым
- Оценка эффективности обучения
Обучение персонала является не тривиальной задачей. Более того, необходимость самого процесса не всегда очевидна для руководства. Вложение денег требуется здесь и сейчас, а прямой и явной выгоды бизнес не получает. Поэтому прежде чем платить за обучение, руководству необходимо четко определить цели обучения. Обучение сотрудников, не имеющее четко поставленных целей, может превратиться в пустую трату времени и денег. Цели и потребности в обучении служат ориентиром для создания обучающих материалов и руководств. Выявление потребности в обучении требует систематического анализа, основанного на стратегических задач организации и ее отдельных подразделений. Потребность в обучении отдельных работников вытекает из специфики выполняемых ими работ, интересами организации и индивидуальными особенностями. Они могут быть выявлены следующими способами:
- оценка информации о работниках, имеющейся в кадровой службе. Обучался ли уже сотрудник, какое у него профессиональное образование и работает ли он в той же области, получил ли сотрудник повышение, требующее повышения квалификации и т.п.
- аттестация сотрудников, которая может выявить как слабые, так и сильные стороны.
- анализ планов организации и отдельных подразделений, выявление направлений и проектов, требующих повышения квалификации персонала.
- сбор заявок на обучение от руководителей подразделений, которые лучше понимают потребности своих сотрудников и поставленные перед ними задачи;
- индивидуальные заявки сотрудников на прохождение обучения.
- опросы работников , например, анкетирование;
- экспертные оценки.
В крупных организациях, персонал которых больше 500 человек, правильно поставленный процесс обучения поможет эффективно использовать имеющиеся ресурсы и уменьшить затраты на персонал. Стандартизация процессов и накопление знаний приведет к "универсальности" работников одной области и исключит появление ситуаций, когда от одного специалиста будет зависеть критичный бизнес-процесс, то есть нивелирует человеческий фактор. В то же время обучение является наиболее действенным способом повышения ценности человеческих ресурсов и повышения отдачи работников.
Рассмотрим процесс на примере. Первое о чем необходимо заботиться – обучение новых пользователей. Возьмем электронную почту. Будет ли знать новый сотрудник, как ей пользоваться? Вероятно, он уже не раз пользовался каким-то сервисом по отправке писем, но:
- не работал с почтовым клиентом, используемым в Вашей организации;
- может не знать опций, которые упрощают работу с почтой (фильтрация, поиск и т.п.);
- никогда не использовал электронную подпись;
- не знает, как пользоваться адресной книгой;
- не знает, как настраивать антиспам;
- не знает, когда необходимо шифровать письмо, то есть не знаком с Политикой информационной безопасности;
- не знает, что не принято пользоваться корпоративным почтовым ящиком в личных целях (ИТ-политика).
Таким образом, даже электронная почта требует обучения новых сотрудников. Первое, что нужно сделать – составить перечень тем, которые будут затронуты в процессе обучения. Второе – выбрать способ обучения. Это может быть:
- вебинар;
- обучение с приглашенным тренером;
- самообучение (попросить пользователей прочитать руководство пользователя);
- и т.п.
Затем нужно определиться с расписанием обучения так, чтобы минимально препятствовать бизнес-процессам.
После обучения важно проверить результат. Допустим, Вы попросили пользователей пройти видеокурс или прочитать руководство. Но как убедиться в том, что они действительно сделали это и всё поняли? Лучше всего организовать тестирование в конце обучения.
Вторая задача процесса – обучение работающих сотрудников. Допустим, они уже давно работают с электронной почтой и знают основные функциональные возможности. Тем не менее, это не значит, что они знают всё и используют почту максимально эффективно. Можно проводить повторное обучение или же, например, делать электронную рассылку "как эффективно использовать Ваш почтовый ящик".
При обучении важно учитывать особенности работы с системой. Сотрудники ИТ должны знать одно, пользователи – другое, сотрудники отдела продаж – третье и т.п.
Какие бы деньги ни тратились на приложения, системы и технологии в конечном итоге работают с ними люди и именно от них зависит эффективность использования и получаемая при этом выгода. Именно поэтому необходимо уделять пристальное внимание обучению персонала.
Ключевые термины
Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Политика информационной безопасности (Security Policy) - система политик, процессов, стандартов, руководящих документов и средств, которые обеспечивают организации достижение целей обеспечения безопасности систем.