一、要求内容
a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;
d)应对安全教育和培训的情况和结果进行记录并归档保存。
二、实施建议
首先需要制定安全相关的培训计划,根据员工的不同要求制定不同的培训内容,如信息安全管理人员、安全检查人员、普通员工需要掌握的安全技能要求是不同,应当进行不同程度的培训。 对于安全的要求和考核的结果应当纳入到员工绩效考核中,并制定相应的奖惩措施。
三、常见问题
很多公司对员工安全职责没有培训和奖惩的要求。
四、实施难点
无。
五、测评方法
形式 访谈,检查。 对象 安全主管,安全管理员,系统管理员,网络管理员,数据库管理员,安全责任和惩戒措施管理文档,信息安全教育及技能定期培训和考核管理文档,培训计划,培训记录。
实施
a)应访谈安全主管,询问是否制定安全教育和培训计划并按计划对各个岗位人员进行安全教育和培训,以什么形式进行,效果如何;
b)应访谈安全管理员、系统管理员、网络管理员和数据库管理员,考查其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度;
c)应检查安全责任和惩戒措施管理文档,查看包括哪些具体的安全责任和惩戒措施;
d)应检查信息安全教育及技能定期培训和考核管理文档,查看是否明确培训的方式、培训的内容和考核的方式等内容;
e)应检查安全教育和培训计划文档,查看是否具有不同岗位的培训计划;查看计划是否明确了培训目的、培训方式、培训对象、培训内容、培训时间和地点等,培训内容是否包含信息安全基础知识、岗位操作规程等;
f)应检查是否具有安全教育和培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述;查看记录与培训计划是否一致。
六、参考资料
ISO17799中对人员安全教育和培训的指导意见:
8.2.2 信息安全意识、教育和培训 控制: 组织的所有员工,适当时,包括合同方和第三方用户,应受到与其工作职能相关的适当的意识培训和组织方针及程序的定期更新培训。 实施指南: 意识培训应从一个正式的介绍过程开始,这个过程用来在被允许访问信息或服务前介绍组织的安全方针和期望。 进行的培训应包括安全要求、法律职责和业务控制,还有信息处理设施正确使用的培训,例如注销程序、软件包的使用和纪律处理(见8.2.3)的信息。
8.2.3 惩戒过程 控制: 应建立一个正式的员工违反安全的惩戒过程。 实施指南: 惩戒过程之前应有一个安全违规的验证过程(也见13.2.3 的证据收集)。 正式的惩戒过程应确保正确和公平的对待被怀疑安全违规的雇员。无论违规是第一次或是已发生过,无论违规者是否经过适当的培训,正式的惩戒过程应规定一个分级的响应,要考虑诸如违规的性质、重要性及对于业务的影响等因素,相关法律、业务合同和其他因素也是需要考虑的。对于严重的明知故犯的情况,应立即免职、删除访问权限和特权,如果需要,直接护送出现场。