信息安全管理中要实施培训

实施培训

根据上面讨论的技术来开发自身战略时，以下7步论普遍适用：

第1步：确定项目的范围、目的和目标

第2步：确定培训

第3步：确定培训对象

第4步：激发管理层和员工
　　第5步：管理项目

第6步：维护项目第

第7步：评估项目

该方法和随后的材料来源于先前提及的NIST文件：SP 800-12《计算机安全介绍》：《NIST手册》。

确定项目范围、目的和目标培训项目的范围应该是所有与计算机系统相关的人员；除了内容广泛的培训项目外，还应制定有针对性的培训项目；安全培训的目标是通过提高员工的保护意识，执行能力，增强对计算机的安全责任感来加强对计算机资源的保护。

确定培训教师无论教师来自何处，他们的知识水平必须与内容要求相符合，同时培训教师应当具有良好的培训技能。

确定培训对象培训项目因人而异，它只提供学员最急需的知识，在大型机构中，有些人员要参加不同的培训班，而较小的机构就不必如此。

根据实际情况可以将学员按以下方式分组：

*按理解能力分组。要研究培训对象是否理解计算机安全的相关进程以及它们与自身工作的关系，在此基础上进行分组。

*按工作任务和功能分组。把培训对象分为数据提供者、处理者或使用者。

*按特定的工作类别分组。不同人员有不同的任务，每一类工作有不同的工作责任,培训就要因人而异。工作分类包括一般管理、技术管理、应用开发和安全。

*按计算机水平分组。计算机专家会更关注包含高科技信息的项目而非计算机安全管理问题的项目；而一个新手会从基础知识的培训项目中受益。

*按技术类型或采用的系统分组。安全技术通常会随着应用系统而改变。大多数应用系统的使用者通常要求得到基于该系统的详细培训。