9.5 安全意識、培訓和教育（MPS_ATE）

9.5.1　安全保障管理目的

組織機構的所有相關員工、第三方用戶，都要接受適當的培訓，注意組織機構策略及與他們工作相關程序的定期更新，明白面臨的安全威脅，知道從哪里可獲得進一步的安全建議和適當的報告信息安全事件的渠道。

9.5.2　MPS_ATE.1 安全意識和培訓策略和流程

9.5.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的安全意識和培訓策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施人員安全策略和相關的人員安全控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全管理與運行的過程實施步驟、內容、結果。

9.5.2.2　管理保障控制組件注解

安全意識和培訓策略以及流程應符合的法律、指令、策略、規范、標準和指南。安全意識和培訓策略應作為組織機構信息安全策略的一部分. 可根據需要，為信息安全規程整體或為某個特定系統來編制安全意識和培訓流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。

9.5.3　MPS_ATE.2安全意識

9.5.3.1　管理保障控制組件控制

安全意識和培訓策略以及流程應符合的法律、指令、策略、規范、標準和指南。安全意識和培訓策略應作為組織機構信息安全策略的一部分. 可根據需要，為信息安全規程整體或為某個特定系統來編制安全意識和培訓流程。

9.5.3.2　管理保障控制組件注解

組織機構應依據自己具體的需求和工作人員授權訪問的信息系統來確定安全意識培訓內容。

9.5.4　MPS_ATE.3安全培訓

9.5.4.1　管理保障控制組件控制

組織機構應確定每個工作人員在信息系統中的安全角色和職責，將這些角色和職責文檔化，在工作人員訪問系統之前給他們提供恰當的信息系統安全培訓，之后應以[附值：組織規定的頻率]繼續培訓。

9.5.4.2　管理保障控制組件注解

組織機構應依據自己具體的需求和工作人員授權訪問的信息系統來確定安全意識培訓內容。而且，組織機構應確保系統管理員，系統行政管理人員和其他有權訪問系統層軟件的人員在執行各自的任務前進行了必要的技術培訓。