B.14 教育培訓（AT）

B.14 教育培訓（AT）

B.14.1　教育培訓策略和規程（AT-1）

控制：
組織應：
a） 制定并發布正式的教育培訓策略，其中應包含目的、范圍、角色、責任、管理承諾、部門間的協調以及合規性。
b） 制定并發布正式的教育培訓規程，以推動教育培訓策略及相關安全控制的實施；
c） 按【賦值：組織定義的時間間隔】，對教育培訓策略和規程進行評審和調整。
補充指導：
a） 為有效實現該族中的安全控制和控制增強，編制所需要的策略和規程。
b） 該策略和規程應與應用的法律、制度、政策、規章、標準和指南是一致的。
c） 學習與培訓策略可作為組織信息安全策略的一部分。
d） 學習與培訓規程可針對一般性的安全程序予以開發；當需要時，可針對特殊ICS予以開發。
e） 在開發配置管理策略中，組織的風險管理戰略是一個重要的因素。

B.14.2　安全意識培訓（AT-2）

控制：
組織應：
a) 為包括管理員、高級管理層、承包商在內的ICS用戶提供安全意識培訓；
b) 在新用戶的培訓中納入安全意識培訓；
c) 按【賦值：組織定義的時間間隔】或系統變更需要培訓時，進行安全意識培訓，安全意識培訓內容應包括ICS特定安全方針策略，安全操作程序，ICS安全趨勢和安全漏洞等。
補充指導：
a） 組織應根據安全策略的需要以及ICS安全需求，以確定適當的安全意識培訓內容，內容包括信息安全、用戶操作維護安全和應對可能的安全事件處理技術等；
b） ICS安全意識培訓包括ICS特定策略、標準的操作規程、安全趨勢以及脆弱性的評審以及它們的定期評審；
c） ICS的意識培訓大綱應與組織所建立的有關安全意識和培訓策略的需求相一致；
d） 培訓時機包括：新用戶培訓、ICS調整或【賦值：組織定義的培訓周期】。
e） 相關安全控制：AT-3、AT-4、Pl-4。
控制增強：
a） 組織開展包括實際練習的安全意識培訓以模擬實際的安全攻擊；

B.14.3　基于角色的安全培訓（AT-3）

控制：
組織應：
a) 為ICS中的安全角色和具有安全職責的人員提供安全培訓；
b) 在新用戶的培訓中納入安全培訓；
c) 按【賦值：組織定義的時間間隔】或系統變更需要培訓時，進行安全培訓，安全培訓內容應包括ICS特定安全方針策略，安全操作程序，ICS安全趨勢和安全漏洞等。
補充指導：
a） 組織在分配個人的角色和責任，進行ICS授權訪問或滿足組織的特定安全要求時，進行基于角色的安全培訓，并確定的適當的安全培訓內容；
b） 安全培訓包括初始的ICS特定策略、標準的操作規程、安全趨勢以及脆弱性的評審以及它們的定期評審；
c） ICS的培訓大綱應與組織所建立的有關安全培訓策略的需求相一致；
d） 培訓時機包括：在對ICS進行授權訪問或執行人員任務分配時、在ICS調整后或者根據【賦值：組織定義的培訓周期】。
e） 相關安全控制：AT-2、AT-4、PL-4。
控制增強：
a） 組織根據初始或定義的頻度的人員和角色培訓；
b） 組織開展包括實際操作的安全培訓，以增強安全培訓的目標；

B.14.4　安全培訓記錄（AT-4）

控制：
組織應：
a） 記錄并監視ICS安全培訓活動，包括基本的安全意識培訓和具體的ICS安全培訓；
b） 在【賦值：規定的時間】內保留培訓記錄。
補充指導：
a) 應維護安全培訓記錄。
b) 相關安全控制：AT-2、AT-4。