安全培訓(xùn)

安全培訓(xùn)涉及到給機(jī)構(gòu)成員提供詳細(xì)信息和管理設(shè)備，使他們能夠安全地履行職責(zé)。信息安全管理能夠適用于內(nèi)部訓(xùn)練或外部委托訓(xùn)練的全部或音項(xiàng)目。

作為內(nèi)訓(xùn)或正式外部委托訓(xùn)練項(xiàng)目的一種選擇，機(jī)構(gòu)可以依托專業(yè)機(jī)構(gòu)提供的項(xiàng)目。許多這些項(xiàng)目對(duì)一般員工來說太技術(shù)化，但對(duì)信息安全專業(yè)所需要的培訓(xùn)來說卻是很理想的。

大量的資源有助于組織SETA項(xiàng)目。例如，NIST的“計(jì)算機(jī)安全資源中心，就在其專門的發(fā)布區(qū)域( http://csrc.rust.gov)提供了幾個(gè)可以免費(fèi)件。

在這些為信息安全從業(yè)者和開發(fā)培訓(xùn)項(xiàng)目準(zhǔn)備的文件中最有用的是NISTSP800-16，這個(gè)有大量附錄的188頁文件在描述培訓(xùn)時(shí)重點(diǎn)強(qiáng)調(diào)：

培訓(xùn)準(zhǔn)則或標(biāo)準(zhǔn)，而非具體課程或內(nèi)容。培訓(xùn)準(zhǔn)則根據(jù)機(jī)構(gòu)內(nèi)被培訓(xùn)者的任務(wù)而建立，并通過在工作中的執(zhí)行情況來衡量。這種著眼于任務(wù)和結(jié)果而非固定內(nèi)容的培訓(xùn)需要靈活性、適應(yīng)性和長(zhǎng)遠(yuǎn)性。

這種方法使文件成為持久和有用的指南，雖然它是針對(duì)聯(lián)邦機(jī)構(gòu)和組織的，但總的方法適合各種機(jī)構(gòu)：

在當(dāng)今高度網(wǎng)絡(luò)化的系統(tǒng)環(huán)境中，應(yīng)當(dāng)確保所涉及到的每個(gè)人都能明確他們的任務(wù)和責(zé)任并得到適當(dāng)培訓(xùn)，否則聯(lián)邦的機(jī)構(gòu)和組織就不能保證信息的完整性、機(jī)密性和可用性。

1987年的《計(jì)算機(jī)安全法》要求聯(lián)邦機(jī)構(gòu)提供強(qiáng)制性的定期的計(jì)算機(jī)安全意識(shí)培訓(xùn)以及給所有涉及計(jì)算機(jī)管理、運(yùn)用或操作的員工提供計(jì)算機(jī)實(shí)踐。聯(lián)邦政府關(guān)于計(jì)算機(jī)安全培訓(xùn)的其他要求包含在OMB Circular A-130的附錄Ⅲ和OPM規(guī)則中。

當(dāng)培訓(xùn)是為特定類型的用戶設(shè)計(jì)時(shí)，培訓(xùn)就相當(dāng)有效，它不但包括教會(huì)用戶該做什么或不該做什么，也應(yīng)該教會(huì)他們?cè)趺醋觥?/p>

有兩種用戶化的培訓(xùn)方法。第一種是基于功能背景的：一般用戶、管理類用戶和技術(shù)用戶；第二種是基于技能水平的：初學(xué)者、中等水平和高水平。傳統(tǒng)的培訓(xùn)模式習(xí)慣于采用基于技能水平作為課程定制標(biāo)準(zhǔn)，基于功能背景的培訓(xùn)開發(fā)隨后將詳細(xì)討論。