91吃瓜网

合规很有用，制定标准具有价值。但是，正如许多专家所说的那样，标准只不过是基本要求。

1. 不要将起点误认为是终点

用户对您予以信任，分享他们的敏感信息。但是，即使存储这些数据的公司在技术上符合安全标准，数十亿人的个人和财务数据也仍有被窃取的风险。

您需要：请记住，行业标准要求的安全合规培训是基本要求。投入很多时间来制定安全标准的专家认为，公司不会有无限的资源，因此这些标准只是一个起点。符合安全合规是基本要求，您可以进入市场竞争；但如果要达到终点线，做到足够安全，则必须做得更多，才能走得更远。

2. 根据不同岗位制定专属培训计划

合规培训中最明显的缺陷之"一是很少会面向不同岗位制定培训计划。标准合规计划（例如HIPAA或PCI DSS）要求进行年度安全意识培训。许多公司将这些程序推广到整个公司的所有职位。这些培训每个月甚至每年都几乎不变。

您需要：为开发团队里不同角色的员工定制培训计划。定期更新培训计划，以跟上市场变化，获得更高的安全性，支持实现公司目标。

3. 不止是满足常规安全检查

安全合规培训虽然有检查所要求的活动项目，但通常只是达到要求的基础效果即可。安全合规培训的真正意义远不止于此。培训是一种安全控制，应进行有效性测试。至少应该在培训后进行评估。

您需要：定义用于评估安全合规培训计划有效性的指标。制定一个流程，方便开发人员可以向培训团队反馈有关他们发现最有用和最没有用的信息，以及他们希望在以后的培训中学习的信息。

阅读更多，请戳英文原文链接。