NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织根据个人的分配角色和职责，以及组织和人员被授权访问的系统的安全和隐私要求，来确定培训的内容，包括针对分配任务量身定制的技术培训。可能需要基于角色培训的职位包括高级领导或管理人员（例如机构负责人/首席执行官，首席信息官，风险管理高级负责人，机构高级信息安全官，机构高级隐私官员，系统所有者；授权官员；系统安全官员；隐私官员；采购和采购官员；企业架构师；系统工程师；软件开发人员；系统安全工程师；隐私工程师；系统、网络和数据库管理员；审计员；进行配置管理活动的人员；执行验证和确认活动的人员；有系统级软件访问权限的人员；控制评估员；负责应急计划和事件响应的人员；负责隐私管理的人员；以及有个人身份信息访问权限的人员。综合的基于角色的培训涵盖管理、操作和技术角色及职责，包括物理、人员和技术控制。基于角色的培训还包括针对已定义的安全和隐私角色的政策、程序、工具、方法和工件。组织提供必要的培训，使个人能够在组织安全和隐私计划的背景下履行与运营和供应链风险管理相关的职责。基于角色的培训也适用于为联邦机构提供服务的承包商。培训类型包括基于网络和计算机的培训、课堂式培训以及实践培训（包括微型培训）。定期更新基于角色的培训有助于确保内容保持相关性和有效性。可能导致基于角色的培训内容更新的事件包括但不限于评估或审计结果、安全或隐私事件，或适用法律、行政命令、指令、法规、政策、标准和指南的变更。