<tt id="8hexo"></tt> 
?
NIST特別出版物800-50《實施信息技術安全意識和培訓方案》為制定一項行之有效的IT安全方案并滿足“2002年聯邦信息安全管理法案”(FISMA)和管理和預算辦公室(OMB)“A-130通告”附錄III所規定的要求提供了指南。一項強有力的IT安全方案,如果不注重就安全政策、流程和技術以及確保IT資源安全所必需的各種管理、操作和技術控制對機構內IT用戶進行培訓,便不可能順利實施。此外,機構中負責管理IT基礎設施的人員需要必要的技能才能有效履行指派給他們的職責。不注意安全培訓方面的工作,會置機構于極大的風險之下,因為機構資源的安全其實也就是人的問題,這個問題的重要性一點也不亞于技術問題。
?
每個人都應在順利實施意識和培訓方案的工作中發揮應有的作用,但是機構領導人、首席信息官(CIO)、項目官員和IT安全項目經理對于確保一項有效方案在機構內全面實施肩負著重要責任。方案的范圍和內容必須與現行安全計劃以及已經制定的機構安全政策相聯系。機構的安全政策也必須對意識和培訓方案提出明確要求。
?
本文提出了實施IT安全意識和培訓方案的4個關鍵步驟:
?
1、安全意識和培訓方案的設計:在這個階段,需要對機構的需要進行廣泛評估,同時需要制定一項培訓戰略并獲得批準。該戰略規劃文件應確定用以支持實現既定機構安全培訓目標的實施任務。
2、安全意識和培訓材料的開發:這個步驟側重于可用培訓資源、范圍、內容以及培訓材料的開發,如果需要,還應求得合同商協助。
3、方案的實施:這個步驟涉及意識和培訓方案的有效交流和具體實施。它還涉及選擇何種媒介發放意識和培訓材料(基于網站、遠程教育、光盤或在崗培訓等)。
4、方案實施后的工作:這個步驟就如何保持方案持續進行和檢測方案實施效果提出了指南。本文在此還介紹了有效的反饋方法(調查、重點組、基準等)。
?
本文還討論了管理安全培訓方案的3種常用模式:
?
1、集中式:所有責任均由一個中心領導小組承擔(如由首席信息官和IT安全項目經理組成)。
2、半分散式:培訓政策和戰略由一個中心領導小組負責,但方案的實施責任由機構部門分擔。
3、全分散式:一個中心領導小組只負責制定政策,所有其他責任由機構各部門分別承擔。
?
采用何種模式應根據對預算和其他資源分配、機構規模、任務的連貫性以及機構的分布情況的了解和評估而定。
?
本文是作為NIST特別出版物800-16《信息技術安全培訓要求:一種基于角色和功效的模式》的姐妹篇出版的。這兩種出版物互為補充——SP800-50從戰略高度討論如何實施IT安全意識和培訓方案,而SP800-16則從戰術角度具體介紹了進行基于角色的IT安全培訓的一種方法。
