信息安全培训管理制度.docxVIP

信息安全培训管理制度 信息安全培训管理制度目的是为规范和加强信息安全培训的管理，明确信息安全培训的特定要求，为信息安全培训工作的开展提供有效的指导。 信息安全培训管理要求 培训管理部门每年年底调查各部门的信息安全培训需求，根据调查结果汇总形成下一年度的信息安全培训需求。 培训管理部门根据培训需求制定详细的培训计划，明确参与培训的人员，并组织培训的具体开展。 对于安全意识培训和安全技能培训，培训管理部门应按照信息安全要求以及岗位职责进行培训的制度建设、考试管理和教材的建设。 培训讲师可由内部经验丰富的高级技术人员来担任，也可以请供应商或者其他外部组织人员提供专业的培训，但在与外部讲师接触交流过程中应尽量避免涉及敏感信息。 信息安全培训类型与内容 基于信息安全培训目标、针对对象、内容的不同，将信息安全培训具体分为信息安全意识培训、信息安全技能培训以及专业信息安全能力培训这几类，以下针对这几类培训的定义、基本内容进行阐述。 ▼▼信息安全意识培训 信息安全意识培训是最基础的培训类型，帮助全体员工理解信息安全相关的基本概念，了解最基本的信息安全制度和规定，保证员工获知信息安全存在的威胁问题，并在日常工作中落实相关信息安全职责。 信息安全意识培训会因不同的对象有所调整，但需要全员参与，在某些情况下可以要求有关的外部组织人员参加（如，能接触到一般敏感信息资产及以上的外部组织人员）。培训的内容可以包括： 信息安全定义，基本术语与常识； 信息安全策略以及信息安全的重要性； 岗位的信息安全职责与基本的安全管理制度； 主要监管要求及相关的法律法规要求； 与信息安全有关的其他内容。 作为强制的培训课程，全体员工都必须参加信息安全意识的培训；信息安全意识培训同时应纳入新员工入职培训的体系框架内，确保新进员工在加入公司后掌握必要的安全知识。 信息安全意识培训一般每年至少组织一次；当总体信息安全策略、信息安全管理体系等方面进行重大调整或更新时，也应组织信息安全制度规范的意识培训，保证所有员工及时了解、掌握相关的变更内容。 承包商及其他外部合作伙伴的相关人员在进入公司工作现场前，应当进行信息安全意识教育，以督促其在工作中遵守公司信息安全方针、策略、规定及程序的要求。对长期驻场的外部人员每年至少进行一次信息安全意识教育。 ▼▼信息安全技能培训 信息安全技能培训主要针对不同岗位/角色的人员，保证员工掌握必要的信息资产使用知识和技能，并能够在实际工作中采用适当的手段保障所使用或管理的信息资产的安全。 信息安全技能培训可根据内容要求不同分为基础培训和进阶培训两种： 基础安全技能培训的内容应纳入任职/使用资格培训中，未通过培训考核的员工不得上岗或使用相应的信息资产； 进阶培训则是从岗位能力提升的角度，对于已上岗员工信息安全技能的不断强化，以帮助其在日常工作过程中更好地落实信息安全职责。 信息安全技能培训需要基于员工不同的角色/岗位进行制定，根据岗位的不同可设立单独的课程，也可以融入其他岗位资格课程中去。 对于在岗人员根据其岗位需求及知识结构，定期组织信息安全技能的进阶培训（一般一年一次），以确保其持续掌握所必需的信息安全技能。 ▼▼专业信息安全能力培训 专业信息安全能力培训主要是针对信息安全主管、信息安全管理员等专业岗位人员开展的，为信息安全管理/技术人员的工作和职业生涯发展提供丰富先进的专业知识。 专业信息安全能力培训的内容可以包括： 信息安全国际标准和最佳实践（如ISO27000体系，NIST体系，国外信息安全领先实践等）的学习和深入探讨； 信息安全领域最新产品（包括软件和硬件）与技术趋势的介绍及培训，如认证类、监控类的软件产品、防火墙、IDS（入侵检测系统）等安全设备等； 针对某一信息安全领域的深入研究（如风险评估方法、新发现的漏洞与威胁、认证方式和技术、加密算法与标准、审计跟踪工具等）； 信息安全相关国际认证的专题讲座、认证培训（如CISSP、CISA认证考试等）； 重大安全事件的经验介绍和分析。 信息安全管理部门应派遣技术人员参加外部举办的安全相关训练、研讨会或产品展示会，及时掌握最新的安全技术。专业信息安全能力培训对于非专职安全人员是可选择的课程，对于专职信息安全人员其中一部分可以作为其任职期间或是晋升前必须完成的必修课程。其余可根据其自身职业生涯发展需求进行安排。 信息安全培训考核 除采用讲座/研讨会等特殊形式的培训外，信息安全各类培训结束后都应安排一定形式的考核，以评估培训的效果；考核内容可以包括理论考核、实际操作技能考核等。考核形式可以包括问答、问卷、试验等。 信息安全意识培训、基础信息安全技能培训的内容应纳入任职/使用资格培训中，未通过培训考核的员工及外部组织人员不得上岗或使用相应的信息资产。 对于未通过再培训的人员，应综合其他考核的情况，确定其是