NIST特别出版物800-50《实施信息技术安全意识和培训方案》为制定一项行之有效的IT安全方案并满足“2002年联邦信息安全管理法案”(FISMA)和管理和预算办公室(OMB)“A-130通告”附录III所规定的要求提供了指南。一项强有力的IT安全方案,如果不注重就安全政策、流程和技术以及确保IT资源安全所必需的各种管理、操作和技术控制对机构内IT用户进行培训,便不可能顺利实施。此外,机构中负责管理IT基础设施的人员需要必要的技能才能有效履行指派给他们的职责。不注意安全培训方面的工作,会置机构于极大的风险之下,因为机构资源的安全其实也就是人的问题,这个问题的重要性一点也不亚于技术问题。
每个人都应在顺利实施意识和培训方案的工作中发挥应有的作用,但是机构领导人、首席信息官(CIO)、项目官员和IT安全项目经理对于确保一项有效方案在机构内全面实施肩负着重要责任。方案的范围和内容必须与现行安全计划以及已经制定的机构安全政策相联系。机构的安全政策也必须对意识和培训方案提出明确要求。
本文提出了实施IT安全意识和培训方案的4个关键步骤:
1、安全意识和培训方案的设计:在这个阶段,需要对机构的需要进行广泛评估,同时需要制定一项培训战略并获得批准。该战略规划文件应确定用以支持实现既定机构安全培训目标的实施任务。
2、安全意识和培训材料的开发:这个步骤侧重于可用培训资源、范围、内容以及培训材料的开发,如果需要,还应求得合同商协助。
3、方案的实施:这个步骤涉及意识和培训方案的有效交流和具体实施。它还涉及选择何种媒介发放意识和培训材料(基于网站、远程教育、光盘或在岗培训等)。
4、方案实施后的工作:这个步骤就如何保持方案持续进行和检测方案实施效果提出了指南。本文在此还介绍了有效的反馈方法(调查、重点组、基准等)。
本文还讨论了管理安全培训方案的3种常用模式:
1、集中式:所有责任均由一个中心领导小组承担(如由首席信息官和IT安全项目经理组成)。
2、半分散式:培训政策和战略由一个中心领导小组负责,但方案的实施责任由机构部门分担。
3、全分散式:一个中心领导小组只负责制定政策,所有其他责任由机构各部门分别承担。
采用何种模式应根据对预算和其他资源分配、机构规模、任务的连贯性以及机构的分布情况的了解和评估而定。
本文是作为NIST特别出版物800-16《信息技术安全培训要求:一种基于角色和功效的模式》的姐妹篇出版的。这两种出版物互为补充——SP800-50从战略高度讨论如何实施IT安全意识和培训方案,而SP800-16则从战术角度具体介绍了进行基于角色的IT安全培训的一种方法。