13.12　安全培訓

13.12.1　一般要求

13.12.1.1　評估內容

詳見GB/T31168－2014中13.1.1的a）、b）、c）和d）。

13.12.1.2　評估方法

13.12.1.2.1 對a）的評估方法為：

——檢查安全組織與人員策略與規程等相關文檔，查看其是否有在以下情況下為相關人員提供基礎安全意識培訓的要求：

1）內部人員、客戶及其他有關人員接受初始培訓時。

2）系統變更時。

3）按照所定義的頻率提供基礎的安全意識培訓。

——檢查培訓記錄等相關文檔，查看其是否按要求進行了安全意識培訓。

13.12.1.2.2 對b）的評估方法為：

——檢查安全組織與人員策略與規程等相關文檔，查看是否有在以下情況下為承擔安全角色和職責的人員提供基于角色的安全技能培訓的要求：

1）被授權訪問信息系統或者執行所分配的職責之前。

2）系統變更時。

3）按照所定義的頻率提供基于角色的安全技能培訓。

——檢查培訓記錄等相關文檔，查看其是否按要求進行了基于角色的安全技能培訓。

13.12.1.2.3 對c）的評估方法為：

——檢查安全組織與人員策略與規程等相關文檔，查看是否有記錄和監視人員的信息系統安全培訓活動的要求；

——檢查信息系統安全培訓活動記錄等相關文檔，查看其是否符合安全培訓活動要求；

——訪談系統安全負責人或人事管理相關人員等人員，詢問其信息系統安全培訓情況。

13.12.1.2.4 對d）的評估方法為：

——檢查安全組織與人員策略與規程等相關文檔，查看其是否定義了保存人員培訓記錄的時間段；

——檢查人員的培訓記錄等相關文檔，查看其是否按規定保存人員的培訓記錄。

13.12.2　增強要求

13.12.2.1　評估內容

詳見GB/T31168－2014的13.12.2。

13.12.2.2　評估方法

13.12.2.2.1 評估方法如下：

——檢查安全組織與人員策略與規程等相關文檔，查看其是否有在安全意識培訓中加入有關發現和報告內部威脅培訓的要求；

——檢查人員的培訓記錄等相關文檔，查看其是否按要求培訓。

——訪談系統安全負責人或人事管理人員等相關人員，詢問其安全意識培訓情況。