信息安全管理中的安全培训
安全培训
安全培训涉及到给机构成员提供详细信息和管理设备,使他们能够安全地履行职责。信息安全管理能够适用于内部训练或外部委托训练的全部或音项目。
作为内训或正式外部委托训练项目的一种选择,机构可以依托专业机构提供的项目。许多这些项目对一般员工来说太技术化,但对信息安全专业所需要的培训来说却是很理想的。
大量的资源有助于组织SETA项目。例如,NIST的“计算机安全资源中心,就在其专门的发布区域( http://csrc.rust.gov)提供了几个可以免费件。
在这些为信息安全从业者和开发培训项目准备的文件中最有用的是NISTSP800-16,这个有大量附录的188页文件在描述培训时重点强调:
培训准则或标准,而非具体课程或内容。培训准则根据机构内被培训者的任务而建立,并通过在工作中的执行情况来衡量。这种着眼于任务和结果而非固定内容的培训需要灵活性、适应性和长远性。
这种方法使文件成为持久和有用的指南,虽然它是针对联邦机构和组织的,但总的方法适合各种机构:
在当今高度网络化的系统环境中,应当确保所涉及到的每个人都能明确他们的任务和责任并得到适当培训,否则联邦的机构和组织就不能保证信息的完整性、机密性和可用性。
1987年的《计算机安全法》要求联邦机构提供强制性的定期的计算机安全意识培训以及给所有涉及计算机管理、运用或操作的员工提供计算机实践。联邦政府关于计算机安全培训的其他要求包含在OMB Circular A-130的附录Ⅲ和OPM规则中。
当培训是为特定类型的用户设计时,培训就相当有效,它不但包括教会用户该做什么或不该做什么,也应该教会他们怎么做。
有两种用户化的培训方法。第一种是基于功能背景的:一般用户、管理类用户和技术用户;第二种是基于技能水平的:初学者、中等水平和高水平。传统的培训模式习惯于采用基于技能水平作为课程定制标准,基于功能背景的培训开发随后将详细讨论。