NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织为系统用户提供基础和高级的识字培训，包括测试用户知识水平的措施。组织根据特定的组织需求、人员被授权访问的系统以及工作环境（例如远程办公）来确定识字培训和意识提高的内容。内容包括对安全和隐私需求的理解，以及用户为维护安全和个人隐私所采取的行动，以及对可疑事件的应对。内容涉及操作安全的必要性以及个人身份信息的处理。提高意识的技术包括张贴海报、提供带有安全和隐私提醒的物品、显示登录屏幕消息、由组织官员发送电子邮件通知或公告，以及举办意识活动。初始培训后进行的素养培训，如AT-2a所述。1 的执行频率至少应符合适用的法律、指令、法规和政策的要求。后续的识字培训可以通过一次或多次简短的临时会议来完成，并包括关于最新攻击手法、组织安全和隐私政策的变化、修订后的安全与隐私期望，或初始培训中部分主题的信息。定期更新识字培训和意识内容有助于确保内容保持相关性。可能促使更新识字培训和意识内容的事件包括但不限于评估或审计结果、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。