培训与意识
法律依据
§30(2) 第7项 BSIG – 基本网络卫生实践和信息安全培训
§38(3) BSIG – 管理层必须定期参加培训。
基础培训(所有员工)
| 主题 | 内容 | 周期 |
|---|---|---|
| 钓鱼与社会工程 | 识别、报告渠道、实际案例 | 每年 |
| 密码与访问安全 | 强密码、MFA、密码管理器 | 每年 |
| 安全通信 | 电子邮件安全、加密渠道 | 每年 |
| 事件报告 | 报告义务、渠道、联系人 | 每年 |
| 数据保护基础 | 个人数据、GDPR基础 | 每年 |
角色特定培训
| 目标群体 | 附加内容 |
|---|---|
| 管理层 | §38下的NIS2义务、责任、治理(强制) |
| IT管理 | 安全系统运营、补丁管理、日志 |
| 软件开发 | 安全编码、OWASP Top 10、供应链安全 |
| 项目管理 | 项目中的安全要求、风险评估 |
入职培训
新员工在获得系统访问权之前:
- 信息安全政策介绍
- 基本网络卫生培训
- 确认安全策略
文档
- 出勤记录集中管理
- 培训完成是系统访问权的先决条件
- 完成率作为KPI年度评估
AI法案协同效应
AI能力计划(AI法案第4条)补充了NIS2培训义务。详情请参阅AI法案合规文档。