从国标里看网络安全意识教育培训要求

免责声明：本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

每个单位应结合自己单位实际情况，去设计和开发信息安全事态、事件和脆弱性管理的意识教育和培训课程。

信息安全事件管理不仅涉及技术手段,也涉及人。因此,宜得到组织内具备适当的信息安全意识和受训人员的支持，同时在《信息技术 安全技术 信息安全管理体系要求》GB/T 22080,也就是ISO/IEC 27001中也提及到这点要求。

所有组织人员的意识和参与对一个结构化的信息安全事件管理方法的成功至关重要。用户宜意识到他们及他们的部门如何才能从结构化的信息安全事件管理方法中受益。此外,信息安全事件管理的结构化方法的效率和质量取决于许多因素,包括通知事件利益相关者的义务、通知的质量、易用性、速度和培训。其中有些因素与用户是否意识到信息安全事件管理的价值并积极报告事件有关。

组织宜积极推进信息安全事件管理成为企业级信息安全意识和培训计划的一部分。相关时,意识培训计划及相关材料宜提供给所有人员,包括新员工、第三方用户和承包商。必要时,宜针对PoC、IRT成员、信息安全人员和特定管理人员提供特定的培训计划。

直接参与事件管理的不同人群可能需要不同级别的培训,这取决于他们与信息安全事件管理计划互动的类型、频率和关键性，组织的意识教育宜包括以下方面:

• 信息安全事件管理结构化方法给组织和个人带来的益处;

• 信息安全事件管理计划是如何工作的,包括其范围、安全事态、事件和脆弱性管理工作流程；

• 如何报告信息安全事态、事件和脆弱性;

• 信息安全数据库中保存的事件信息及其输出；

• 对相关事件源的保密控制；

• 规划的服务水平协议；

• 在哪些情况下对起源提供建议的结果告知；

• 非披露协议规定的任何限制;

• 信息安全事件管理组织的权威性和其报告路径:

• 根据信息安全事件管理计划，由谁接收报告以及报告是如何分发的；

在某些情况下,组织可能期望在其他培训计划(例如,面向个人的计划或总的企业级安全意识计划)中包含信息安全事件管理特有的意识细节。这种意识方法能为特定的人群带来价值,进而提高培训计划的效果和效率。

信息安全事件管理计划开始运行之前,组织宜确保所有相关人员都熟悉涉及信息安全事件发现和报告的规程，并且有专门的选定人员对后续活动非常熟悉。随后宜是定期的意识教育和培训课程。培训宜为PoC和IRT成员以及信息安全人员和特定管理人员提供特定演练和测试的支持。

此外,宜通过建立和运行由信息安全事件管理人员支持的“热线”，对意识和培训计划进行补充，以尽量减少报告和处理信息安全事态事件和脆弱性的延误。

在以上意识培训的基础上，应该明确应了解常规安全防护，如下：

• 不宜打开未知来源的电子邮件或者电子邮件附件,不通过电子邮件发送或接收可执行文件;

• 不宜使用与业务不相关的软件;

• 不宜点击可疑的浏览器弹出式窗口:

• 不宜点击可疑的网络地址链接;

• 不宜访问可能含有恶意内容的网站;

• 不宣打开可能与恶意软件相关联的文件;

• 不宜关闭防病毒软件、恶意软件专杀工具、防火墙等安全软件;

• 不宜使用管理员级别的账户进行常规操作;

• 不宜下载或执行来自不可信任(如陌生网站)来源的应用程序;

• 不宜通过电子邮件回复金融或个人信息,组织不宜通过电子邮件要求得到这些信息;

• 在回复电子邮件或自动弹出式窗口时不应提供任何账号、密码或者其他登录凭证,只在组织内部网站中使用这些信息;

• 如果收到可疑的附件(如陌生人发送的邮件),宜通过电话等方式联系发送者确认附件的真实性;

• 不宜回复任何陌生的或无法确认的电子邮件;

• 宜定期对自己的账户密码进行修改并注意加强密码强度,并实施有效的权限管理机制,结合生物特征识别等技术手段对账户信息进行加密保护;

• 不宜在互联网上随意登录组织内部的邮箱,宜对垃圾邮件进行及时过滤或清理。

本文是结合我国现行国家标准，整理而成。