XX-3-IS-信息安全培训管理规范

第2页共10页文档编号XX_3_IS_信息安全培训管理规范版本号V1.0密级内部公开信息安全培训管理规范XXX信息技术有限公司文档信息发布版本：V1.0最后发布时间：XX编写人：XX审核人：XX版本控制编号修订人修订时间版本号修订内容说明123第PAGEI页共10页目录1. 目标、范围与术语定义 12. 信息安全培训职责 23. 信息安全培训类型与内容 23.1. 信息安全意识培训 23.2. 信息安全技能培训 33.3. 专业信息安全能力培训 44. 信息安全培训管理要求 55. 附则 6第7页共10页目标、范围与术语定义信息安全需要每一个员工共同参与和维护，而有效的培训则是确保员工掌握必要信息安全知识和技能的基础。本文件的目标是规范和加强对XXX信息技术有限公司（以下简称“XXX”）信息安全培训的管理，明确信息安全培训的特定要求，为全公司信息安全培训工作的开展提供有效的指导。本文件所指的信息安全培训主要包括针对信息安全设置具体培训课程，或是在相应的培训中增加信息安全相关的内容；本文件主要从培训的类型、内容以及培训管理要求几方面对信息进行了规范。下列术语和定义适用于本文件：ISO27000体系：是国际标准组织(ISO)确立的信息安全管理体系（ISMS）相关的一系列国际标准，包括《ISO27000原理与术语》、《ISO27001信息安全管理体系—要求》、《ISO27002信息技术—安全技术—信息安全管理实践规范》《ISO27003信息安全管理体系—风险管理》、《ISO27004信息安全管理体系—指标与测量》、《ISO27005信息安全管理体系—实施指南》等；NIST：美国国家标准技术研究院（NationalInstituteofStandardsandTechnology）是属于美国商业部的技术管理部门，其下信息技术实验室（ITL）所开发的800系列特别报告书是关于ITL在计算机安全等领域所进行的研究、指导和成果以及在此领域与业界、政府和学术组织协同工作的报告，对信息安全实施有很强的指导性；CISSP：CISSP全称CertifiedInformationSystemSecurityProfessional（信息系统安全认证专业人员），由国际信息系统安全认证协会，即(ISC)2)组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证；CISA：CertifiedInformationSystemAuditor（注册信息系统审计师）资格由信息系统审计与控制协会（ISACA）授予，是信息系统审计领域的惟一职业资格，受到全世界的广泛认可。信息安全培训职责信息安全部是全公司信息安全培训工作统一协调和归口管理部门，负责从全公司角度对信息安全培训进行指导。信息安全部作为信息安全培训的主办者，负责信息安全培训需求的收集、汇总和上报，信息培训安全项目的立项和具体实施，信息安全培训体系的建立与管理，以及信息安全培训的日常管理。信息安全培训类型与内容基于信息安全培训目标、针对对象、内容的不同，将信息安全培训具体分为信息安全意识培训、信息安全技能培训以及专业信息安全能力培训这几类，以下针对这几类培训的定义、基本内容进行阐述。信息安全意识培训信息安全意识培训是最基础的培训类型，它帮助XXX员工理解信息安全相关的基本概念，了解XXX最基本的信息安全制度和规定，保证员工获知信息安全存在的威胁问题，并在日常工作中落实相关信息安全职责。信息安全意识培训会因不同的对象有所调整，但需要全员参与，在某些情况下可以要求有关的外部组织人员参加。培训的内容可以包括：信息安全定义，基本术语与常识，可以包括信息安全中机密性、完整性、可用性等基本属性的定义、常见的漏洞与威胁（如恶意代码）、常用控制措施与手段等（如防病毒软件、防火墙等） XXX的信息安全战略以及信息安全对XXX业务发展的重要性；岗位的信息安全职责与基本的安全管理制度；员工信息安全守则 面临的主要监管要求及相关的法律法规要求； 与信息安全有关的其他内容。作为强制的培训课程，XXX的全体员工都必须参加信息安全意识的培训；信息安全意识培训同时应纳入新员工入职培训的体系框架内，确保XXX的新进员工在加入XXX后掌握必要的安全知识。信息安全意识培训一般每年至少应组织一次；当XXX总体信息安全战略、信息安全管理体系方面进行重大调整或更新时，也应组织信息安全制度规范的意识培训，保证所有员工及时了解、掌握相关的变更内容。信息安全技能培训信息安全技能培训主要针对不同岗位/角色（尤其是信息技术相关岗位/角色）的人员，保证员工掌握必要的XXX信息资产使用知识和技能，并能够在实际工作中采用适当的手段保障所使用或管理的信息资产的安全。信息安全技能培训可根据内容要求不同分为基础培训和进阶培训两种：基础安全技能培训的内容应纳入任职/使用资格培训中，未通过培训考核的员工不得上岗或使用相应的信息资产；进阶培训则是从岗位能力提升的角度，对于已上岗员工信息安全技能的不断强化，以帮助其在日常工作过程中更好的落实信息安全职责。信息安全技能培训需要基于员工不同的角色/岗位进行制定，根据岗位的不同可设立单独的课程，也可以融入其他岗位资格课程中去，通常应包括（但不仅限于）以下方面的内容：对象内容要求信息安全主管/信息安全管理员XXX信息安全规划与架构XXX信息安全管理体系（包括体系的建立、实施、维护改进等）通用信息安全技术的基础理论知识，包括身份认证、访问控制、内容安全、备份恢复、监控审计等（根据各岗位人员在工作中的情况和技能掌握的提升提供进阶的安全技能培训课程。）软件开发人员XXX开发相关的安全标准、指南和操作规程开发工具中安全相关功能的使用等应用/系统/数据库管理员XXX针对不同系统制定的安全规范，如windows、unix等不同平台的具体安全配置规范不同系统进行维护和管理时基本的安全技能（包括邮件系统、操作系统、数据库等）与具体产品相关的基础安全技能（如对于操作系统需要基于不同平台的内容，包括Windows安全、UNIX安全等）网络管理员XXX网络相关安全制度规范网络安全设备的配置和管理（如路由器和防火墙上的ACL，交换机上的VLAN等）网络监控基础技能和知识以及网络管理软件中安全模块内容用户XXX针对用户具体的信息安全指南和操作规程；各岗位所必须使用的操作和应用系统中作为用户必须掌握的安全技能和知识，如应用系统中密码口令配置与更改功能等。表STYLEREF1\s3SEQ表\*ARABIC\s11各信息安全角色及其信息安全技能培训内容对于在岗人员定期需要进行信息安全技能的再培训，以确保其持续掌握所必须的信息安全技能；对于未通过在岗再培训的人员，应综合其他考核的情况，确定其是否仍具备任职/使用信息资产的资格。用户在使用任何信息技术设施前（包括软件和硬件），必须接受完整的安全技能培训；当应用系统的新建、升级对用户使用产生影响时，必须事先开展必要的针对用户的培训。专业信息安全能力培训专业信息安全能力培训主要是针对专业从事XXX信息安全管理的岗位/人员开展的，为信息安全管理/技术人员的工作和职业生涯发展提供丰富先进的专业知识。专业信息安全能力培训的内容可以包括：信息安全国际标准和最佳实践（如ISO27000体系，NIST体系，国外银行信息安全领先实践等）的学习和深入探讨；信息安全领域最新产品（包括软件和硬件）与技术趋势的介绍及培训，如认证类、监控类的软件产品、放火墙、IDS（入侵检测系统）等安全设备等； 针对某一信息安全领域的深入研究（如风险评估方法、新发现的漏洞与威胁、认证方式和技术、加密算法与标准、审计跟踪工具等）；信息安全相关国际认证的专题讲座、认证培训（如CISSP、CISA认证考试等）；重大安全事件的经验介绍和分析。信息安全管理小组需要派遣技术人员参加外部举办的安全相关训练、研讨会或产品展示会，及时掌握最新的安全技术。专业信息安全能力培训对于非专职安全人员是可选择的课程，对于专职信息安全人员其中一部分可以作为其任职期间或是晋升前必须完成的必修课程，其余可根据其自身职业生涯发展需求进行安排。信息安全培训管理要求信息安全部组织培训需求的收集汇总工作；由信息安全部根据当年度的信息安全管理工作要求，以及当前信息安全发展趋势，每年年底向各部门发出《信息安全培训需求收集表》，根据调查结果汇总形成下一年度的信息安全培训需求，经风险委员会审核后，提交给信息安全部门。信息安全部应在总行制定的计划和课程基础上，具体负责相应层级的信息安全培训主办工作，制定详细的培训计划，明确参与培训的人员，并组织培训的具体开展；对于安全意识培训和安全技能培训，信息安全部应按照XXX总体信息安全要求以及岗位职责进行培训的制度建设、考试管理和教材的建设。信息安全培训应根据不同课程和内容采取相应的培训形式，包括：传统课堂培训；利用Internet和计算机进行远程教学；下发有关制度汇编和宣传手册并组织学习专题讲座或研讨会等。培训讲师可由行内经验丰富的高级技术人员来担任，也可以请供应商或者其他外部组织人员提供专业的培训，但在与外部讲师接触交流过程中应尽量避免涉及XXX的敏感信息。除采用讲座/研讨会等特殊形式的培训外，信息安全各类培训结束后都应安排一定形式的考核，以评估培训的效果；考核内容可以包括理论考核、实际操作技能考核等。考核形式可以包括问答、问卷、试验等；考核结果经汇总后报培训