培训计划
必修培训
基础培训 -- 全体员工
| 模块 | 内容 | 时长 | 频率 |
|---|---|---|---|
| 信息安全基础 | 保护目标、分级、职责 | 30分钟 | 每年 |
| 钓鱼与社会工程 | 识别方法、当前攻击模式、报告途径 | 30分钟 | 每年 |
| 密码与访问安全 | 密码管理器、MFA、锁屏 | 20分钟 | 每年 |
| 事件报告 | 报告义务、报告途径、联系人、示例 | 15分钟 | 每年 |
| 数据保护 | 个人数据、DSGVO基础、数据主体权利 | 20分钟 | 每年 |
总时长: 每年约2小时
管理层培训(§38第3款BSIG)
| 内容 | 描述 |
|---|---|
| 当前威胁态势 | 相关攻击、趋势、行业特定风险 |
| NIS2/BSIG义务 | §30措施、§32报告义务、§38责任 |
| 风险管理 | 阅读和评估风险分析、审批措施 |
| 事件升级 | 管理层在事件中的角色、沟通决策 |
时长: 每年2-3小时,由ISB或外部讲师进行
角色专项培训
| 目标群体 | 模块 | 时长 | 频率 |
|---|---|---|---|
| IT管理员 | 安全配置、补丁流程、日志管理、系统加固 | 4小时 | 每年 |
| 软件开发人员 | 安全编码、OWASP Top 10、依赖管理、代码审查 | 4小时 | 每年 |
| 项目经理 | 安全需求、项目中的风险评估 | 2小时 | 每年 |
| 服务台/支持 | 社会工程识别、升级处理、数据保护 | 2小时 | 每年 |
培训方法
| 方法 | 适用场景 |
|---|---|
| 在线学习 | 基础和必修培训,自主学习 |
| 面授培训 | 管理层培训、角色专项研讨会 |
| 钓鱼模拟 | 安全意识实践测试,每半年一次 |
| 简要提醒 | 遇到紧急威胁时通过电子邮件发送当前警告 |