涉及安全意识培训合规要求的全球法律法规、标准及框架有哪些？

全球七大洲基本都出台了相关安全法律法规、标准或框架明确要求组织开展安全意识培训。定期的、持续的安全意识教育在帮助组织保护敏感数据、满足法规要求、降低网络攻击和数据泄漏事件的可能性，和提升组织网络弹性方面都发挥着至关重要的作用。安全意识合规要求超出了安全技术保障的范畴--它们通常要求组织证明其员工具备有效地预防、检测和响应安全风险的意识、知识和技能。如果未能遵守这些合规要求，组织可能面临监管追责、经济处罚和承担法律后果。以欧盟GDPR为例，即使是因企业员工合规意识不足而存在轻微的侵权行为，也可能导致高达1000万欧元的罚款（或公司全球年收入的2%)。

下文罗列了国际上涉及安全意识培训合规要求的一些常见法律法规、标准和框架，供业内同行参考。

1.ISO /IEC 27001标准

ISO/IEC 27001由国际标准化组织(ISO)开发和发布，是当前国际上最为广泛采用的信息安全标准之一。该标准概述了信息安全管理体系（ISMS）的最佳实践，为帮助组织管理和保护其信息资产提供了一套全面的基于安全控制措施的标准框架（包含4个关键领域和93个具体的安全控制措施）。

ISO/IEC 27001附录A6.3“信息安全意识、教育与培训”规定：组织内部人员和相关利益方应接受适当的信息安全意识、教育和培训，并定期接受与其工作职能相关的组织信息安全方针、特定安全策略和程序的更新培训。该条款强调了安全意识培训的必要性和重要性，应确保所有人员理解并遵守组织的信息安全方针、策略和程序，确保员工意识到他们的安全责任和角色。由于内外部威胁环境和法律合规要求的变化，所有员工也应确保安全意识、知识与技能保持最新，与时俱进。

2.NIST 网络安全框架

NIST网络安全框架(CSF)是由美国国家标准与技术研究院(NIST)制定的一套指导方针，旨在帮助组织管理和降低网络安全风险。最新NIST CSF 2.0框架由六个核心功能组织-治理(GV)、识别(ID)、保护(PR)、检测(DE)、响应(RS)和恢复(RC)。

NIST网络安全框架将“安全意识与培训”作为“保护(PR)”功能的关键要素之一，其中NIST PR.AT-01 & PR.AT-02条款规定：一般岗位员工应接受组织提供的基础性安全意识宣贯与培训，掌握必备的安全知识与技能，在日常工作中能够考虑到网络安全风险，保持安全意识不放松；特定岗位员工（包括第三方员工）应接受组织提供的针对性安全意识宣贯与培训，强化他们的网络安全责任意识，进一步提升其安全知识与技能，降低潜在安全事件发生的可能性。

3.CIS 安全控制措施

CIS安全控制措施是由互联网安全中心(CIS)提出的一套全球公认的最佳安全实践方法，旨在帮助组织降低网络和系统面临的风险。最新的CIS安全控制措施V8.1版由18项顶级控制措施构成，涵盖了资产管理、数据保护、访问控制和事件响应等领域，其中CIS Control 14为：安全意识与技能培训。

该控制措施侧重于在组织内建立和维护安全意识与培训计划，包括九项保障措施(Safeguards)，指明如何通过实施有效的安全意识与培训计划，影响员工的行为，将人为因素安全风险转化为抵御网络安全威胁的第一道防线。

4.NIS2 欧盟《网络与信息系统指令》

NIS2 (Network and Information Security Directive)是由欧盟建立的一个网络安全框架，它是欧盟网络安全法规的重要组成分部分。NIS2更新了最初的NIS指令，将其范围扩大到涵盖更多部门，包括能源、交通、卫生和数字基础设施。该指令旨在通过制定更严格的安全要求、加强事件报告协议和促进成员国之间的合作，提高关键实体的网络安全弹性。NIS 2还引入了更严格的执法措施和对违规行为的更高惩罚。

NIS2 第20条规定：“成员国应确保基本实体和重要实体的管理机构成员必须接受安全培训，并应鼓励基本实体和重要实体定期向其雇员提供类似安全培训，以便他们获得足够的安全知识和技能，使他们能够识别风险，评估网络安全风险管理实践及其对实体提供服务的影响。”

5.GDPR 欧盟《通用数据保护条例》

GDPR(General Data Protection Regulation)是由欧盟颁布的一项全面的数据保护法规，规定了欧盟境内个人数据的收集、处理和存储方式。GDPR条例于2018年5月开始实施，旨在使欧盟所有公民确保个人对其个人数据的控制权，包括访问、更正、删除等权利，保护其数据隐私，确保数据处理的透明度、安全性和问责制。该条例对组织提出了更严格的要求，包括获得数据处理的明确同意，允许数据主体访问和删除其个人数据的请求，在72小时内报告数据泄露事件，组织违反条例规定将面临高额罚款等。

GDPR第39条规定：数据保护官（DPO）的任务之一是监督数据控制者和处理者在保护个人数据方面的合规情况，定期提供安全培训，提升员工在数据处理活动中的安全意识。

6.GLBA《金融现代化法案》

GLBA (Gramm-Leach-Bliley Act) 又称《金融现代化法案》，是一部美国联邦法律，适用于美国金融机构，为存储消费者敏感个人信息和财务信息的金融公司规定了隐私与安全保护要求。

于2023年修订的GLBA法案在其“安全保障规则九要素”之要素五中明确规定，组织必须为员工提供符合以下要求的安全培训：

• 安全意识培训应涵盖在风险评估中确定的风险主题。

• 安全意识培训必须由合格的信息安全人员管理，无论是内部人员还是外部服务提供商。

• 安全意识培训计划必须保持更新，以反映当前的安全风险。

7.PCI-DSS《支付卡行业数据安全标准》

PCI-DSS (Payment Card Industry Data Security Standard) 即《支付卡行业数据安全标准》，是由PCI安全标准委员会制定和维护的一套安全标准，旨在提高信用卡、借记卡和现金卡交易的安全性，保障持卡人的数据安全，防止其个人信息免受泄漏、滥用和欺诈。

PCI-DSS安全要求12.6规定：组织必须实施正式的安全意识计划，确保所有人员了解持卡人数据安全政策和程序。在12.6.1细则中还进一步提出：员工入职后应每年至少接受一次安全意识培训，培训内容应定期更新以反映最新的安全趋势和程序变化，组织应根据员工角色和数据访问权限级别提供多样化的安全意识培训方式，确保安全意识沟通与培训的有效性。

8.NERC-CIP《北美电力可靠性委员会-关键基础设施保护标准》

NERC-CIP(North American Electric Reliability Corporation Critical Infrastructure Protection)即《北美电力可靠性委员会-关键基础设施保护标准》，是针对北美大容量电力系统制定的一系列网络安全和可靠性要求。这些标准涉及各个方面，例如保护物理和网络资产，确保人员接受安全培训，并为事件响应和恢复做好准备，总体目标是保护电网免受潜在的网络威胁及确保其可靠性。

NERC CIP CIP-004-5.1 表1中明确指出“人员与培训”，要求组织每季度至少开展一次安全意识培训，以确保所有参与关键电力基础设施保护和操作的人员都充分了解安全风险和安全协议，强化网络安全最佳实践。培训应当确保员工了解如何保护物理和网络资产，防止未经授权的访问，并有效应对潜在的安全威胁。

9.HIPPA《健康保险可携带性与责任法案》

HIPPA (Health Insurance Portability and Accountability Act)即《健康保险可携带性与责任法案》，是一项美国联邦法律，旨在保护患者个人的敏感健康信息，它为健康数据的安全和隐私制定了国家标准，要求医疗保健服务提供者、保险公司及其商业伙伴保护医疗信息。HIPAA还授予患者对其医疗健康信息的各种权利，包括访问和要求更正其医疗记录的权利，违反HIPAA法案的组织和个人可能会面临巨额罚款和处罚措施。

根据HIPPA § 164.308 (5) (i) 规定：组织必须面向其所有员工（包括管理层）实施安全意识与培训计划，确保员工了解如何保护个人电子健康信息（ePHI）免受未经授权的访问、破坏和其他安全威胁。

10.FERPA《家庭教育权利与隐私法案》

FERPA (Family Educational Rights and Privacy Act)即《家庭教育权利与隐私法案》，是一项美国联邦法律，旨在保护学生教育记录(包括个人身份和目录信息)的隐私。该法案规定了学校在收集、使用和披露学生个人信息时必须遵守的原则，适用于任何公立或私立小学、中学或中学后学校,以及在美国教育部的适用项目下接受联邦资助的任何州或地方教育机构。

根据FERPA法案中关于“培训与意识”的相关规定，学校应定期开展安全培训和意识计划，并定期更新培训内容，涵盖FERPA合规的关键方面，确保所有学校教职员工了解他们在FERPA法案下的安全责任，并有能力适当地处理学生的教育记录，避免因教育记录的处置不当而受到法律处罚和潜在的声誉损失。

除以上欧洲及北美洲地区的相关法律法规、标准和框架以外，南美洲、非洲、大洋洲及亚洲很多国家的网络安全相关法律法规也对安全意识培训提出了明确要求。欲了解更多安全意识合规要求相关国际法规、标准、框架及指南，欢迎参加2025年首期网络安全文化“特训营”，课程内容及开课时间详见公众号精选文章:网络安全文化“特训营”全新启航：助您实现质的飞跃

讲师介绍：Hardy一名“终身”安全意识与文化布道者，企业学员累计超300万+

• 超安全文化研究院-院长

• 注册信息安全意识官(CSAO)认证-核心开发者

• 中国网络空间安全人才教育论坛-网安意识工作组副组长

• 原某世界500强前30集团公司-网络安全意识与文化负责人

原文始发于微信公众号（超安全）：涉及安全意识培训合规要求的全球法律法规、标准及框架有哪些？