Тренінг з безпеки для щорічного комплаєнсу
Освіжайте знання всього персоналу за щорічним циклом, привʼязаним до фреймворків, про які насправді запитують ваші аудитори. Докази по кожному контролю, бенчмарки часу на завершення та єдиний експорт, готовий до наступного аудиту.
Щорічне оновлення без щорічних труднощів
Майже кожна регульована організація зобовʼязана надавати аудиторам докази щорічного навчання з обізнаності з безпеки. HIPAA Security Rule, GLBA Safeguards, NYDFS 23 NYCRR 500, ISO 27001 A.7.2.2, GDPR Article 39 та NIST 800-171 контроль 3.2, кожен містить очікування щодо навчання персоналу. Більшість команд безпеки справляються тим, що щосічня надсилають те саме 30-хвилинне відео і сподіваються на показники завершення вище 80%.
Щорічне оновлення є шансом стимулювати вимірювану зміну поведінки, а не поставити галочку. Ті самі вправи, які проходить новачок під час онбордингу, мають відчуватися інакше через рік: з новими паттернами загроз, новими сценаріями та перевіркою знань, що дає реальний бал. Інакше оновлення перетворюється на клікання на памʼять.
RansomLeak проводить щорічний цикл як 60-денне вікно з ротаційним контентом вправ, звітністю з привʼязкою до фреймворків та email від керівника-спонсора на старті. Кожен співробітник, який завершив, формує запис доказів по кожному контролю, оцінену перевірку знань та бенчмарк часу на завершення. Аудиторський пакет компілюється автоматично в кінці вікна.
Як це працює
Виберіть свої фреймворки
Виберіть один або кілька фреймворків з каталогу: HIPAA, GLBA Safeguards, NYDFS 500, ISO 27001 (A.7.2.2 та Annex A 6.3), GDPR Article 39, NIST 800-171 (3.2.1 / 3.2.2), CMMC, PCI DSS 12.6 та SOC 2 CC1.4. Привʼязка автоматично заповнюється у вправах.
Налаштуйте склад вправ
Стандартна навчальна програма охоплює фішинг, програми-вимагачі, соціальну інженерію, BEC, класифікацію даних і повідомлення про інциденти. Клієнти додають або заміняють вправи за відділом, роллю чи вимогами фреймворку. Інженерні, фінансові та клінічні ролі отримують опціональні поглиблені модулі.
Встановіть 60-денне вікно для завершення
Стандартний цикл відкривається email від керівника-спонсора і триває 60 днів. Каденс нагадувань для відділів: щотижня перші три тижні, потім двічі на тиждень до закриття. Хто не завершив, отримує ескалацію до керівника на 50-й день та до HR-операцій на 60-й день.
Відстежуйте розподіл, а не лише завершення
Дашборди в реальному часі показують відсоток завершення, середній час до завершення, розподіл балів та відсіювання по кожній вправі. Розрізайте за відділом, локацією, керівником або будь-яким HRIS-атрибутом, щоб виявити відстаючі групи рано.
Скомпонуйте пакет аудиторських доказів
У кінці вікна платформа генерує єдиний PDF та CSV експорт по кожному фреймворку. Кожний ID контролю привʼязано до вправ, що його охоплюють, до записів про завершення, що це доводять, та до даних оцінювання. Завантажуйте в аудиторський портал, без ручного перехресного зіставлення.
Що ви отримаєте
Сертифікат завершення для кожного співробітника
Кожний співробітник, який завершує цикл, отримує датований PDF-сертифікат із переліком завершених вправ, охоплених фреймворків та зведеною інформацією про оцінки. Зберігається в записі співробітника, доступний для масового експорту.
Пакет доказів по кожному контролю
Єдиний експорт привʼязує кожний ID контролю (наприклад, ISO 27001 A.7.2.2, HIPAA § 164.308(a)(5)(i), NIST 800-171 3.2.1) до вправ, записів про завершення та балів, що це доводять. Готовий для аудитора формат, перевірений за шаблонами SOC 2 Type II, наглядового аудиту ISO та HHS.
Бенчмарки часу до завершення
Дані розподілу, що показують, скільки часу займає завершення по ролі, відділу та локації. Виявляє приховані тертя (перевантажені команди, мовні прогалини, невідповідність ролі і навчальної програми) до того, як вони стануть знахідкою аудиту.
Розподіл оцінок по кожній вправі
Подивіться, які сценарії дають найнижчі бали з першої спроби в усьому персоналі. Використовуйте дані для планування цільового мікронавчання у наступному кварталі або для виявлення ролей, яким потрібна глибша навчальна програма.
Виконавча звітність на одному слайді
Єдиний автоматично згенерований слайд із показником завершення, розподілом оцінок, трьома найслабшими сценаріями та порівнянням рік до року. Можна одразу вставити у презентацію для ради чи аудиторського комітету.
Підібрані вправи для сценарію щорічного комплаєнсу
Послідовність вправ, яку ми рекомендуємо для цього сценарію, з каталогу 100+.
Виявлення фішингових листів
Найбільш важлива вправа для будь-якого щорічного оновлення. Сценарії змінюються щороку, щоб перевіряти розпізнавання патернів, а не запамʼятовування.
Читати посібникРеагування у першу годину при програмі-вимагачі
Проводить через рішення про стримування та повідомлення, які повинен знати кожен співробітник. Вимагається ISO 27001 A.5.24 та HIPAA § 164.308(a)(6).
Читати посібникЗахист від соціальної інженерії
Охоплює претекстинг, видавання себе за іншу особу та позаканальну верифікацію. Привʼязано до NIST 800-171 3.2.2 та нагадувань з безпеки HIPAA.
Читати посібникРеагування на витік даних за GDPR
Проводить через 72-годинний термін повідомлення за статтею 33 GDPR і еквівалентні терміни за HIPAA Breach Notification та законами штатів.
Читати посібникКомпрометація бізнес-електронної пошти
Вимагається додатковими заявками страхових компаній і часто згадується в оцінках ризиків NYDFS 500.16. Адаптовано для фінансових ролей.
Читати посібникОбовʼязки співробітника з безпеки
Щорічне підтвердження того, що кожен член команди розуміє свою відповідальність за повідомлення про інциденти, обробку даних та гігієну пристроїв.
Читати посібникЗагрози, які охоплює цей сценарій
Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.
Поширені запитання
До яких фреймворків відповідності привʼязана щорічна програма?
Скільки часу займає щорічне оновлення для одного співробітника?
Чи можемо ми проводити аудити кількох фреймворків з одного циклу?
Що містить експорт аудиторських доказів?
Як ми обробляємо тих, хто не завершив у кінці вікна?
Чи ротується контент рік до року?
Чи можемо ми проводити цикл кількома мовами?
Першоджерела
Цитовані вище.
- SOC 2 Trust Services Criteria (CC1.4 — commitment to competence) — AICPA & CIMA
- HIPAA Security Rule — 45 CFR §164.308(a)(5) Security Awareness and Training — U.S. Department of Health & Human Services (HHS)
- ISO/IEC 27001:2022 — Information security management systems (Clause 7.3 Awareness) — International Organization for Standardization (ISO)
- Regulation (EU) 2016/679 (GDPR) — Articles 32 and 39 (security of processing; DPO awareness duties) — EUR-Lex (Publications Office of the European Union)
- NIST SP 800-50 Rev. 1 — Building a Cybersecurity and Privacy Awareness and Training Program — NIST Computer Security Resource Center
- Directive (EU) 2022/2555 (NIS2) — Article 21(2)(g) cyber hygiene and security training — EUR-Lex (Publications Office of the European Union)
- SANS 2024 Security Awareness Report — Managing Human Risk — SANS Institute
Дотичні матеріали
Подивіться RansomLeak в дії
Спробуйте безкоштовні вправи або замовте демо, щоб побачити аналітику, експорт SCORM, SSO та індивідуальний контент у вашому середовищі.