安全培訓

安全培訓涉及到給機構成員提供詳細信息和管理設備，使他們能夠安全地履行職責。信息安全管理能夠適用于內部訓練或外部委托訓練的全部或音項目。

作為內訓或正式外部委托訓練項目的一種選擇，機構可以依托專業機構提供的項目。許多這些項目對一般員工來說太技術化，但對信息安全專業所需要的培訓來說卻是很理想的。

大量的資源有助于組織SETA項目。例如，NIST的“計算機安全資源中心，就在其專門的發布區域( http://csrc.rust.gov)提供了幾個可以免費件。

在這些為信息安全從業者和開發培訓項目準備的文件中最有用的是NISTSP800-16，這個有大量附錄的188頁文件在描述培訓時重點強調：

培訓準則或標準，而非具體課程或內容。培訓準則根據機構內被培訓者的任務而建立，并通過在工作中的執行情況來衡量。這種著眼于任務和結果而非固定內容的培訓需要靈活性、適應性和長遠性。

這種方法使文件成為持久和有用的指南，雖然它是針對聯邦機構和組織的，但總的方法適合各種機構：

在當今高度網絡化的系統環境中，應當確保所涉及到的每個人都能明確他們的任務和責任并得到適當培訓，否則聯邦的機構和組織就不能保證信息的完整性、機密性和可用性。

1987年的《計算機安全法》要求聯邦機構提供強制性的定期的計算機安全意識培訓以及給所有涉及計算機管理、運用或操作的員工提供計算機實踐。聯邦政府關于計算機安全培訓的其他要求包含在OMB Circular A-130的附錄Ⅲ和OPM規則中。

當培訓是為特定類型的用戶設計時，培訓就相當有效，它不但包括教會用戶該做什么或不該做什么，也應該教會他們怎么做。

有兩種用戶化的培訓方法。第一種是基于功能背景的：一般用戶、管理類用戶和技術用戶；第二種是基于技能水平的：初學者、中等水平和高水平。傳統的培訓模式習慣于采用基于技能水平作為課程定制標準，基于功能背景的培訓開發隨后將詳細討論。