保护受控未分类信息 Rev 3

组织向系统用户（包括管理人员、高级管理人员、系统管理员和承包商）提供基础和高级的安全素养培训，并采取措施测试用户的知识水平。组织根据具体的组织需求、人员获准访问的系统以及工作环境（例如）来确定素养培训的内容。远程办公)。内容包括理解安全需求以及用户为维护安全和应对事件所需采取的行动。内容还涉及操作安全的必要性以及受控未分类信息（CUI）的处理。安全意识技术包括张贴海报、提供印有安全提示的物品、发送组织官员的电子邮件通知或公告、显示登录屏幕消息，以及通过播客、视频和网络研讨会开展宣传活动。安全素养培训的进行频率应符合适用的法律、指令、法规和政策。定期更新读写能力培训内容可确保内容保持相关性。可能促使更新读写能力培训内容的事件包括评估或审计结果、安全事件或违例行为，或适用法律、总统行政令、指令、法规、政策、标准和指南的变更。内部威胁的潜在指标和可能前兆包括以下行为：长期且过度的不满工作；尝试获取与工作职责无关的信息；无法解释的财务资源接触；对同事的性骚扰或欺凌行为；工作场所暴力；以及对组织的政策、程序、规章、指令或惯例的其他严重违规行为。组织可以考虑根据角色定制内部威胁意识培训主题（例如，针对管理人员的培训可能侧重于团队成员行为的具体变化，而针对员工的培训可能侧重于更一般性的观察）。社会工程学是一种试图欺骗个人泄露信息或采取某种行动的方法，这些信息或行动可能被用来入侵、破坏或以其他方式对系统产生不利影响。社会工程学包括网络钓鱼、虚构借口、冒充、诱饵、互惠手段、话题劫持、社交媒体利用和尾随进入等手段。社会挖掘是一种试图收集有关组织的信息的行为，这些信息可能被用来支持未来的攻击。安全素养培训包括如何通过适当的组织渠道，根据既定政策和程序，传达员工和管理层对潜在内部威胁迹象以及潜在或实际的社会工程和数据挖掘事件的关注。

组织根据个人的职责、角色和责任以及人员获准访问的系统的安全要求来确定安全培训的内容和频率。此外，组织为系统开发人员、企业架构师、安全架构师、软件开发人员、系统集成商、采购/采购官员、系统和网络管理员、从事配置管理和审计活动的人员、执行独立验证和确认的人员、安全评估人员，以及有权限访问系统级软件的人员提供专门针对其分配职责的安全相关技术培训。全面的基于角色的培训涵盖管理、运营和技术角色及其职责，包括物理、人员和技术控制。此类培训可以包括为已定义的安全角色制定的政策、程序、工具和相关资料。组织还提供开展与运营和供应链安全相关职责所需的培训，这些职责是在组织信息安全计划的背景下进行的。