◇BP.01.03管理安全意识、培训和教育
所有员工的安全意识、培训和教育都需要管理,其管理方式与其需要管理的意识、培训和教育管理方式相同。
工作产品示例:
(1)安全培训材料的用户审核一一描述安全意识和培训材料的有效性、可用性和相关性。
(2)所有意识、培训和教育日志和培训结果——跟踪用户对组织和系统安全的理解。
(3)用户团体关于安全的知识、意识和培训水平的定期再评估——对安全的有组织的理解进行复查并标识出将来关注的可能区域。
(4)培训、意识及教育材料的记录——收集可以在整个组织中重复使用的有关安全的培训材料,可以将它们与其它组织的培训材料综合起来。
在此环境中, “用户”这个术语不仅包括那些直接与系统一起工作的个体,而且也包括所有从这个系统直接或间接接收信息的个体,以及所有的经营和管理人员。
用户意识到安全处于适当位置的理由,以及采用特殊安全机制或控制的理由是至关重要的。另外,用户理解怎样正确地使用该机制或控制是非常重要的。因此,当引入新机制和控制时,用户需要原始的、周期性重新理解的和修改的教程。所有用户都要求具有安全意识,
某些用户在使用安全机制方面需要培训,少数用户需要更多深入的安全知识,是安全教育的主要对象。