安全习俗与有意识的安全文化建设指南

安全习俗与有意识的安全文化

安全文化始终是一个难以捉摸的无形"事物"，我们都渴望改善它，却并不真正理解其原因或方法。这在试图理解组织内部互动沟通为何呈现特定"风味"的机构中并不罕见，有些组织体现的风味会因我们的道德标准、专业需求和视角而被判定为好或坏。Simon Wardley曾精辟论述了组织文化的内涵。

我常对承诺改善我所负责组织安全文化的供应商和咨询机构感到失望或怀疑。羞辱员工（钓鱼测试）、让员工感到无聊（演示、测验和视频）或驱动员工间竞争（游戏化）似乎是仅有的解决方案，且很少提供效果衡量，就像某种以不可见方式改善事物的魔法。

文化是多种要素的结合，但最终体现在员工和合作伙伴实现组织目标时所做的决策中。期望不良决策不发生并非对结果负责的态度，通过推断意图来衡量文化也无法替代通过行动和可见行为进行的衡量。

基于此，我多年前与Kaplan合作共同定义了希望培育的"有意识安全文化"，而非依赖其他方法在发展和塑造随时间累积的安全习俗时的那种魔法。

我们创建的文化定义是一系列决策能力维度，作为组织安全负责人，我负责定义优秀标准。我接受在组织不同部门（这是一个全球性企业）中行为形式可能变化，但最终需要在决策结果上实现一致性。这些维度包括：

业务聚焦涵盖灵活性、敏捷性和业务赋能行为与已知有效安全控制之间的平衡，理解业务关键要素，认识可能非最优安全方案但合理的补偿控制，以及在政策和标准对业务的损害大于保护时提出质疑的能力。

网络风险意识与评估包括对威胁环境的认知及可用应对措施的理解，对威胁的前瞻性认识。理解网络专家需求，以及评估产品/服务全生命周期中网络安全需求的能力。

安全政策与最佳实践包括对组织政策的了解，理解组织中的安全角色和职责。主动报告关注领域并支持适当的安全投资。

网络安全倡导包括促进主动的、基于价值的网络文化的行为，就网络问题开展协作。当出现明显不良行为时质疑同事，确保合作伙伴和承包商满足组织要求和期望。

个人实践包括承担个人责任确保网络合规，在工作场所内外应用网络实践。还包括采用弹性平衡的决策制定以及在工作中应用基本安全卫生措施。

这是我偏好的安全文化和能力维度，您的可能不同，但我认为关键问题是：“我组织中的有意识安全文化应该是什么样？“如果不知道这点，您就只是在随波逐流地跟随安全习俗，希望魔法能带来期望结果。

我们首先根据这些标准衡量当前能力。创建了一系列真/假陈述和一组基于场景的多选题，其中没有正确答案。与高级安全领导团队一起设定了我们希望看到的平衡目标，并作为团队根据每个能力维度对各类答案进行评分。

这使我们能够在真实场景中测试，例如： CEO在中国酒店摔碎了手机屏幕，询问是否可以去当地手机店维修。他们24小时后离开。我们该怎么做：

领导团队选择首选答案并根据每个能力维度对所有答案评分。我们还要求员工使用0%到100%的滑块评估对其决策的信心程度。

这意味着我们不仅能衡量不同业务和地区的当前安全习俗，还能开始思考员工"自信错误"需要立即解决的领域，以及员工表现出"不自信能力"的领域，通过强化可增强他们做正确事的信心。调查保持匿名但能识别资历和地区，使我们能够寻找这类模式，从而有针对性地干预，使安全习俗更接近我们期望的有意识文化。

总体发现我们所在的高度监管保守企业在个人实践和安全政策方面出奇地强，但在网络风险意识和业务聚焦方面较弱。这使我们能够思考如何调整沟通、政策和培训以强调这些领域。

这对我非常有用，我认为可作为其他安全领导团队考虑转向有意识安全文化的典范。

Mario Platt提醒我Rasmussen的安全事故模型，其中存在推动效率（业务聚焦）、推动安全（网络风险意识与评估）和减少努力（个人实践和网络倡导的对立面）的压力。