信息安全培训管理制度

培训管理部门根据培训需求制定详细的培训计划，明确参与培训的人员，并组织培训的具体开展。

对于安全意识培训和安全技能培训，培训管理部门应按照信息安全要求以及岗位职责进行培训的制度建设、考试管理和教材的建设。

培训讲师可由内部经验丰富的高级技术人员来担任，也可以请供应商或者其他外部组织人员提供专业的培训，但在与外部讲师接触交流过程中应尽量避免涉及敏感信息。

信息安全意识培训是最基础的培训类型，帮助全体员工理解信息安全相关的基本概念，了解最基本的信息安全制度和规定，保证员工获知信息安全存在的威胁问题，并在日常工作中落实相关信息安全职责。

• 信息安全定义，基本术语与常识；

• 信息安全策略以及信息安全的重要性；

• 岗位的信息安全职责与基本的安全管理制度；

• 主要监管要求及相关的法律法规要求；

• 与信息安全有关的其他内容。

作为强制的培训课程，全体员工都必须参加信息安全意识的培训；信息安全意识培训同时应纳入新员工入职培训的体系框架内，确保新进员工在加入公司后掌握必要的安全知识。

信息安全意识培训一般每年至少组织一次；当总体信息安全策略、信息安全管理体系等方面进行重大调整或更新时，也应组织信息安全制度规范的意识培训，保证所有员工及时了解、掌握相关的变更内容。

承包商及其他外部合作伙伴的相关人员在进入公司工作现场前，应当进行信息安全意识教育，以督促其在工作中遵守公司信息安全方针、策略、规定及程序的要求。对长期驻场的外部人员每年至少进行一次信息安全意识教育。

信息安全技能培训主要针对不同岗位/角色的人员，保证员工掌握必要的信息资产使用知识和技能，并能够在实际工作中采用适当的手段保障所使用或管理的信息资产的安全。

• 基础安全技能培训的内容应纳入任职/使用资格培训中，未通过培训考核的员工不得上岗或使用相应的信息资产；

• 进阶培训则是从岗位能力提升的角度，对于已上岗员工信息安全技能的不断强化，以帮助其在日常工作过程中更好地落实信息安全职责。

对于在岗人员根据其岗位需求及知识结构，定期组织信息安全技能的进阶培训（一般一年一次），以确保其持续掌握所必需的信息安全技能。

专业信息安全能力培训主要是针对信息安全主管、信息安全管理员等专业岗位人员开展的，为信息安全管理/技术人员的工作和职业生涯发展提供丰富先进的专业知识。

• 信息安全国际标准和最佳实践（如ISO27000体系，NIST体系，国外信息安全领先实践等）的学习和深入探讨；
• 信息安全领域最新产品（包括软件和硬件）与技术趋势的介绍及培训，如认证类、监控类的软件产品、防火墙、IDS（入侵检测系统）等安全设备等；
• 针对某一信息安全领域的深入研究（如风险评估方法、新发现的漏洞与威胁、认证方式和技术、加密算法与标准、审计跟踪工具等）；
• 信息安全相关国际认证的专题讲座、认证培训（如CISSP、CISA认证考试等）；

• 重大安全事件的经验介绍和分析。

信息安全意识培训、基础信息安全技能培训的内容应纳入任职/使用资格培训中，未通过培训考核的员工及外部组织人员不得上岗或使用相应的信息资产。

对于未通过再培训的人员，应综合其他考核的情况，确定其是否仍具备任职/使用信息资产的资格。

作者：李鹏飞（转载请获本人授权，并注明作者与出处）

获取更多资源与话题讨论

原文始发于微信公众号（微言晓意）：信息安全培训管理制度