6.13 意識和培訓（AT）

6.13.1　安全意識培養和安全培訓方針策略和規程（AT-1）

本項要求包括：

a) 應制定并發布安全意識培養和安全培訓方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布安全意識培養和安全培訓規程，以推動安全意識培養和安全培訓方針策略及與相關安全控制的實施；

c) 應定期對安全意識培養和安全培訓方針策略及規程進行評審和更新。

6.13.2　安全意識培訓（AT-2）

本項要求包括：

a) 應為包括管理員、高級管理層、承包商在內的ICS用戶提供安全意識培訓；

b) 應在新用戶的培訓中納入安全意識培訓；

c) 應定期或系統變更需要培訓時，進行安全意識培訓；

d) 安全意識培訓內容應包括ICS特定安全方針策略，安全操作程序，ICS安全趨勢和安全漏洞等；

e) 組織開展包括實際練習的安全意識培訓以模擬實際的安全攻擊；

f) 組織開展包括識別和報告內部潛威脅的安全意識培訓。

6.13.3　基于角色的安全培訓（AT-3）

本項要求包括：

a) 應為ICS中的安全角色和具有安全職責的人員提供安全培訓；

b) 應在新用戶的培訓中納入安全培訓；

c) 應定期或系統變更需要培訓時，進行安全培訓；

d) 安全培訓內容應包括ICS特定安全方針策略，安全操作程序，ICS安全趨勢和安全漏洞等；

e) 組織開展包括實際操作的安全培訓，以增強安全培訓的目標；

f) 組織根據初始或定義的頻度的人員和角色培訓；

g) 組織應向內部人員提供安全培訓，使能夠識別ICS存在的異常行為。