笔者一个月前写了一篇文章：涉及安全意识培训合规要求的全球法律法规、标准及框架有哪些？，得到了公众号系统推荐，现在还有不少转发和私信留言。作为姊妹篇，今天再写一篇关于钓鱼模拟演练和钓鱼培训的相关合规要求。

在组织中开展常态化钓鱼模拟演练,可以帮助员工了解最新的钓鱼攻击手法，提升员工的反钓鱼意识与能力。每年的HVV攻防演练，钓鱼攻击已经成为一种最常用也是最有效的手法之一。就像健身房锻炼一样，我们训练得越频繁，肌肉就就越会形成条件反射，被锻炼过的肌肉哪怕过一段时间没练了，一旦重拾运动量，也会比从未锻炼过的肌肉更快地增大和变强。企业常态化开展钓鱼模拟演练提供了这种肌肉记忆与思维训练，这样员工就能无意识地、本能地发现并报告可疑的钓鱼攻击企图。

下文罗列了一些涉及钓鱼模拟演练和钓鱼培训合规要求的一些国际法律法规、标准和框架，供业内同行参考。

PCI-DSS：《支付卡行业数据安全标准》

PCI-DSS (Payment Card Industry Data Security Standard) 即《支付卡行业数据安全标准》，是由PCI安全标准委员会制定和维护的一套安全标准，旨在提高信用卡、借记卡和现金卡交易的安全性，保障持卡人的数据安全，防止其个人信息免受泄漏、滥用和欺诈。

PCI DSS 4.0.1引入了新的安全意识培训要求，从2025年3月31日开始，组织必须遵守PCI DSS 4.0中的新要求，新要求更加强调网络钓鱼意识培训。随着网络犯罪分子不断改进他们的攻击策略，PCI DSS现在要求企业积极主动地对员工进行有关网络钓鱼和社会工程学攻击的安全意识教育。

与网络钓鱼相关的主要条款包括：

• 要求5.4.1：组织必须实施自动化反网络钓鱼防御，以帮助检测和防止攻击。

• 要求12.6.3.1：组织必须加强现有的安全意识培训，纳入网络钓鱼和社会工程学相关内容。

PCI DSS意识到网络钓鱼攻击在支付行业的流行和复杂性，这些更新要求强调了需要改进培训方法，以应对不断发展的网络钓鱼和社工策略，而常态化钓鱼模拟演练是培训员工识别和避免钓鱼攻击的最有效方法之一。

COBIT:《信息及其相关技术控制目标框架》

COBIT(Control Objectives for Information and related Technology)由IT治理研究所(ITGI)和信息系统审计与控制协会(ISACA)联合开发，该框架适用于组织的整个IT 结构（而不仅仅是信息安全）。

COBIT框架没有专门针对安全意识和培训的章节，但在以下章节中有具体提及：

• PO6 沟通管理目标和方向

• PO7 管理 IT 人力资源

• DS5 确保系统安全

• DS7 教育和培训用户

例如：PO7-管理IT人力资源-7.4人员培训—为IT员工提供适当的入职培训和持续培训，以保持其知识、技能、能力、内部控制和安全意识达到实现组织目标所需的水平。COBIT提供了一系列成熟度模型，用于培训的COBIT成熟度模型（DS7 -教育和培训用户）为其5个成熟度级别中的每一级都明确了安全意识、培训与教育要求。例如Level 4-可管理和可测量级：所有员工都接受适当水平的有关道德操守和系统安全意识及实践的正式培训，以防止影响可用性、机密性和完整性的故障所造成的伤害。Level 5-优化级：为安全培训和教育计划提供充足的预算、资源、设施和教学人员。

SOC2：《系统与组织控制2》

SOC2(System & Organization Controls 2)由美国注册会计师协会(AICPA) 制定，归属于 AICPA 的信任服务标准。SOC2 适用于需要存储、处理或处置客户数据的技术服务提供商或 SaaS 公司，可以扩展到处理/提供数据的其他第三方供应商。SOC2 提供了一个框架，包含的五项信任服务标准/五个关键原则包括:安全性、可用性、机密性、处理完整性和隐私性。SOC2 审计的目的是向第三方客户、合作伙伴或投资者证明，被审计的组织是认真对待信息安全和隐私保护的。

SOC2 框架虽然没有白纸黑字地直接要求组织开展钓鱼模拟演练和钓鱼培训，但钓鱼模拟演练和钓鱼培训是一种基于人的(People-Based)控制措施，符合保护组织中人的深度防御策略，有助于证明符合SOC 2安全信任服务标准所需的控制。

CMMC：《网络安全成熟度模型认证》

CMMC的全称是网络安全成熟度模型认证（Cybersecurity Maturity Model Certification），是美国国防部(DoD)为规范其供应链网络安全防护能力而推出的一套强制性认证体系。该认证旨在通过分级评估机制，确保参与国防合同的企业、组织或供应商满足不同层级的网络安全要求，从而保护受控未分类信息(CUI)和联邦合同信息(FCI)的安全。

CMMC的建立背景源于美国国防供应链中频发的网络安全漏洞事件,CMMC通过引入第三方评估机构(C3PAO)的审核机制，强制要求企业通过认证才能参与国防项目，以此提升整体供应链的网络安全水平。CMMC适用于所有与美国国防部直接或间接合作的企业，涵盖军工制造、信息技术服务、科研机构等领域。

CMMC 2.0版本将成熟度分为三个等级：Level 1（需要满足15项安全要求）, Level 2（涉及110项安全要求）, Level 3（涉及134项安全要求），CMMC模型由14个安全域构成，其中一项包括意识与培训(AT)。 Level 2级别特别关注两类安全意识与培训：基于岗位角色的(Role-Based)风险意识与培训，以及内部人员威胁(Insider Threat)意识与培训。Level 2级别重点关注高级威胁(Advanced Threat)意识与培训，以及实践性培训演练（Practical Training Exercises）

CMMC 模型也没有白纸黑字地指明要求开展钓鱼模拟演练和钓鱼培训，但组织想要获得Level 2及Level 3级别认证，证明开展钓鱼培训和模拟演练是必不可少的一环。

SIMM 5320-A: 《加州信息管理手册之钓鱼演练标准》

SIMM(State-wide Information Management Manual)是美国加利福尼亚州制定的手册，包含州政府机构为满足信息技术政策所必须使用的标准、指南、表格和模板等。加州政府强调保护州政府免受恶意电子邮件攻击需要同时使用安全技术措施和安全意识措施。定期开展钓鱼培训和模拟演练是一个成熟的信息安全管理计划的重要组成部分，因此被列入加州政府管理手册(SAM)5320。该钓鱼演练标准(SIMM 5320-A)规定了一套各州机构/实体与加州科技部(CDT)信息安全办公室(OIS)和加州网络安全集成中心(Cal-CSIC)协调钓鱼演练的具体要求。

该标准列出了七种关键网络钓鱼技术，包括链接操纵、短信钓鱼、语音钓鱼、网站伪造、恶意弹窗钓鱼、视频电话会议钓鱼以及社交媒体钓鱼。该标准要求各州机构/实体开展钓鱼演练时，必须至少提前72小时（三个工作日）通知CDT OIS和Cal- CSIC。该标准还对钓鱼演练规划、钓鱼演练同意与事前通知、钓鱼演练事件响应生命周期等做出了详细规定。

GDPR:《通用数据保护条例》

GDPR(General Data Protection Regulation)由欧盟制定，该法规于2018年实施，旨在协调整个欧洲的数据隐私法，赋予欧洲公民个人数据的权力，并重塑组织处理数据隐私的方式。它促使企业重新思考自己的网络安全与隐私政策，尤其是在员工安全意识与培训方面。网络安全与隐私保护不仅仅是一个技术问题，而是一个“以人为中心”的问题。许多数据泄露是由于“人为错误”造成的（例如中招网络钓鱼攻击、糟糕的密码习惯、敏感文档处理不当、数据共享方式不当等等都可能导致代价高昂的数据泄露），因此，员工在保护个人数据方面发挥着关键作用。对于想要符合GDPR合规要求的组织来说，全面的员工安全意识培训不是可有可无的可选项，而是“必选项”。安全意识培训有助于减少人为错误的可能性，增强组织应对网络攻击的弹性，并培养一种优先考虑数据保护的安全文化。

根据GDPR序言(Recital)第81条，明确提到需要充分的安全培训，强调了培训员工处理个人数据的重要性。另外GDPR第39条规定：数据保护官（DPO）的任务之一是监督数据控制者和处理者在保护个人数据方面的合规情况，定期提供安全培训，提升员工在数据处理活动中的安全意识。

GDPR法规中没有开展钓鱼培训和演练的明示条款，但要建立符合GDPR的网络安全框架，安全培训计划必须涵盖一些关键领域，例如：识别网络威胁(Recognising Cyber Threats)，网络钓鱼和社会工程学攻击是员工安全意识培训计划中必不可少的内容。除了正式的安全培训外，钓鱼模拟演练有助于测试员工识别钓鱼攻击企图的能力，并提升员工应对真实钓鱼攻击的警惕性。

NCSC-CAF：《英国国家网络安全中心网络评估框架》

英国国家网络安全中心(NCSC)的网络评估框架(CAF)提供了一套系统、全面的方法来评估组织的网络风险管理与网络弹性程度。该框架还为组织如何实施安全意识与培训计划提供了指导。基于CAF框架的评估既可以由责任组织本身（自我评估）进行，也可以由独立的外部实体（可能是监管机构）进行。

CAF框架提出了评估网络安全与弹性的四个顶层目标和14项原则。CAF框架-目标B（防止网络攻击）-原则B6-员工安全意识与培训，要求员工应具备适当的安全意识、知识和技能，以有效履行与网络和信息系统安全有关的组织职责。

原则B6.a为“网络安全文化”，组织应塑造并维护积极的网络安全文化。网络安全文化评估结论分为三种类型：未实现(Not Achieved)、部分实现(Partially Achieved)和已实现(Achieved)。原则B6.b为“网络安全培训”，评估结论也分为三个层次：未实现(Not Achieved)、部分实现(Partially Achieved)和已实现(Achieved)。虽然CAF框架没有钓鱼演练和钓鱼培训的字眼，但“部分实现”和“已实现”的组织运用了一系列教学技术实施安全意识培训，模拟演练是构架起理论知识与实践操作相结合的一座桥梁，可以让员工在模拟环境中应用所学知识。

DORA:《数字运营弹性法案》

DORA(Digital Operational Resilience Act)是由欧盟针对金融机构的新网络安全规则，该法案已于2025年1月17日正式生效，该法案旨在加强欧盟境内运营的任何金融服务公司，无论规模大小，包括银行、保险公司、信贷机构、投资公司、电子货币机构、加密资产公司、信用评级机构等金融实体的IT安全。

DORA法案第二章第13条~学习与持续发展（Learning and Evolving）中的第6点要求金融实体应将信息通信技术安全意识和数字运营弹性培训作为其员工安全培训计划的必修模块，其中包括网络钓鱼意识。这些计划和培训应适用于所有雇员和高级管理人员，其复杂程度应与其职责范围相称。在适当的情况下，金融实体还应根据第30(2)条第(i)点，将ICT第三方服务提供商纳入其相关安全培训计划。

该法案还要求金融机构不断测试其抵御网络攻击和运营中断的弹性能力。包括：执行定期漏洞扫描和渗透测试，模拟网络攻击(包括钓鱼演练)，以评估安全响应和恢复能力，测试备份系统和恢复过程等。

另外值得一提的是NIS2（网络和信息安全指令）-该欧盟指令于2024年10月17日生效，要求基本和数字服务提供商对员工进行网络安全风险培训，以保护关键基础设施。每条法规/法案都有独特的要求，但它们都有一个共识：未经充分培训和演练的员工是一种安全风险。DORA侧重于针对ICT中断的主动恢复能力，而NIS2则加强关键服务保护，两者都符合GDPR等更广泛的网络安全法规。

欲了解探索更多安全意识与钓鱼演练合规要求和策略，欢迎参加2025年首期网络安全文化“特训营”：网络安全文化“特训营”全新启航：助您实现质的飞跃

讲师：Hardy一名“终身”安全意识与文化布道者，企业学员累计超300万+

• 超安全文化研究院-院长

• 注册信息安全意识官(CSAO)认证-核心开发者

• 中国网络空间安全人才教育论坛-网安意识工作组副组长

• 原某世界500强前30集团公司-网络安全意识、培训与文化负责人

原文始发于微信公众号（超安全）：涉及钓鱼模拟演练和钓鱼培训合规要求的全球法律法规、标准及框架有哪些？