信息安全管理中的安全教育

安全教育

信息安全部的一些员工可能预先并没有信息安全的相关背景或经验，当环境允许并根据需要，可以鼓励他们参加脱产的正式培训。描述信息安全培训项目的资源包括在网站http://csrc.nist.gov/ATE/training_&_education.html下的NIST 培训、在http：//www.vascon.org/craining.html下的VA SCAN以及在http：//www.nsa.gov/isso/programs/nietp/newspgl.html下的NSA-即CAEIAE。地方资源也可以提供信息，比如Kennesaw州的信息安全教育和意识培养中心（——译者注） ( http://infosec.kennesaw.edu).

信息安全培训项目必须包括：

*所有安全专业人员的信息安全教育需求

*所有信息技术专业人员的必备知识教育

大量的高等教育机构提供了信息安全的正式学习课程。不幸的是，最近一次对这些机构的调研发现，大多数授予学位（博士或硕士）的高等院校中，计算机科学或信息系统专业实际上只包括了少量信息安全方面的课程。虽然一些学位确实提供了深入和广泛的信息安全教育，但是，将来有志于从事信息安全工作的学生必须仔细审核这些高校所提供的课程数量和课程内容。

一般的IT教育课程要求学生在一个重视安全和道德的计算机环境中工作，正如Irvin和Frinke在《Intergrating Security into the Curriculum》-书中所指出的：

一个适当地增加计算机安全知识的教育系统将使下一代IT工作者在开发安全可靠的信息系统时具备更成熟的背景知识。

改进信息安全教育非常重要，以致于克林顿总统在1998年5月提出了Presi- dent Decision Directive 63，关于重要基础设施保护的政策。另外，它要求NSA建立像CAEIAE -样的超常规项目，CAEIAE项目目标是“通过促进信息保障方面的高等教育和培养大量的拥有IA专门技能的人员来减少我们国家信息基础设施的弱点。”甜这意味着不但要提高信息安全专业人员的数量，而且要增强所有技术人员的信息安全意识。