Pamantayan sa Kamalayan at Pagsasanay sa Cybersecurity

Ang Lungsod at County ng San Francisco ay nakatuon sa pagbuo ng isang malakas na programa sa cybersecurity upang suportahan, panatilihin, at secure ang impormasyon at mga sistema nito. Ang Cybersecurity Awareness and Training Standard ay isang implementing standard ng Citywide Cybersecurity Policy.

Itinatatag ng dokumentong ito ang Pamantayan sa Kamalayan at Pagsasanay sa Cybersecurity ng Lungsod at County ng San Francisco (CCSF). Ang pamantayan ay makakatulong sa CCSF na mabawasan ang mga panganib sa cybersecurity sa pamamagitan ng pagsasanay sa mga gumagamit, pagdodokumento ng pagsasanay, at pakikipag-ugnayan sa kanila tungkol sa mga pinakamahusay na kasanayan sa cybersecurity.

Ang mga layunin ng Pamantayan sa Kamalayan at Pagsasanay sa Cybersecurity ay kinabibilangan ng:

1. Pagpapabuti ng kamalayan ng mga gumagamit sa pangangailangang protektahan ang teknolohiya, impormasyon, at mga sistema.
2. Pagtiyak na malinaw na nauunawaan ng mga gumagamit ang kanilang mga responsibilidad sa pagprotekta ng impormasyon at mga sistema.
3. Pagtiyak na ang mga gumagamit ay may kaalaman tungkol sa mga patakaran, pamantayan, alituntunin, pamamaraan, at kasanayan sa cybersecurity ng CCSF.
4. Pagpapaunlad ng kaalaman at kasanayan ng mga gumagamit upang maisagawa nila nang ligtas ang kanilang mga trabaho.
5. Pagtiyak na ang CCSF ay sumusunod sa mga regulasyon at iba pang mga kinakailangan ng pederal, estado, at lokal na pamahalaan.

Ang pamantayang ito ay nalalapat sa lahat ng gumagamit ng mga sistema ng impormasyon ng CCSF na may access sa mga kritikal na sistema. Ang mga gumagamit na ito ay maaaring kabilang ang: mga opisyal, mga halal na opisyal, mga empleyado (kabilang ang permanenteng serbisyo sibil, exempt, pansamantala, full at part-time, at provisional), mga consultant, mga vendor, mga intern, mga boluntaryo, o sinumang iba pang indibidwal na nagtatrabaho sa ngalan ng Lungsod at County ng San Francisco. Ang mga indibidwal na ito ay sama-samang tinutukoy bilang "mga gumagamit" para sa mga layunin ng pamantayang ito.

Ang mga gumagamit ng mga sistema ng impormasyon ng CCSF na may access sa mga kritikal na sistema ay dapat lumahok sa pagsasanay sa kamalayan sa cybersecurity, kabilang ang:

1. Ang lahat ng mga gumagamit ay kinakailangang kumuha ng taunang pagsasanay tungkol sa kamalayan sa cybersecurity sa anyo ng Computer-Based-Training (CBT) o mga workshop na pinangungunahan ng mga instruktor.
2. Ang lahat ng mga bagong gumagamit ay kinakailangang kumuha ng pautos pagsasanay sa kamalayan sa cybersecurity sa anyo ng mga workshop na pinangungunahan ng CBT o mga instruktor.
3. Maaaring ibigay ang pagpapatibay ng kamalayan at karagdagang pagsasanay sa pamamagitan ng mga newsletter, poster, kampanya sa phishing, screensaver, webcast, workshop, at mga pambansang kaganapan na may kaugnayan sa cybersecurity.

Ang mga rekord ng pagkumpleto ng pagsasanay ay kinakailangang itago at ma-access ng Departmental Information Security Officer (DISO) at kawani ng Recursos Humanos (HR) ng departamento. Ang mga rekord ay dapat itago nang hindi bababa sa 2 taon mula sa huling petsa ng pagkumpleto, o mas matagal pa depende sa mga kinakailangan ng departamento.

Lahat ng Gumagamit ng CCSF Information Systems

• Kumpletuhin ang kinakailangang taunang pagsasanay at lumahok sa iba pang mga kaganapan sa pagpapalaganap ng kamalayan.

Punong Opisyal ng Seguridad ng Impormasyon ng Lungsod (CCISO)

• Makipagtulungan sa Departamento of Recursos Humanos (HRD) upang mapadali ang pagpapatupad ng epektibong mga programa sa kamalayan at pagsasanay tungkol sa cybersecurity sa buong lungsod.
• Magbigay ng plataporma para sa kamalayan at pagsasanay sa cybersecurity na maaaring gamitin ng mga departamento upang sumunod sa pamantayang ito.
• Maglathala ng taunang baseline na pagsasanay sa kamalayan sa cybersecurity na nakabatay sa tungkulin. Maaaring ipasadya ng mga departamento ang kanilang programa sa pagsasanay upang matugunan ang mga pangangailangan ng departamento.

Mga Opisyal ng Seguridad ng Impormasyon ng Kagawaran (Diso) o Punong Opisyal ng Seguridad ng Impormasyon

• Mag-organisa ng pagsasanay sa kamalayan sa cybersecurity at iba pang mga aktibidad para sa kamalayan ng mga itinalagang kawani sa kani-kanilang mga departamento.
• Tiyaking ang programa ng departamento tungkol sa kamalayan at pagsasanay sa cybersecurity ay nakakatugon sa mga kinakailangan sa regulasyon at pagsunod ng Departamento at sa pamantayang ito.
• Makipagtulungan sa mga kawani ng HR ng departamento o iba pang posisyon na itinalaga ng Departamento upang subaybayan ang partisipasyon sa pagsasanay tungkol sa kamalayan sa cybersecurity sa loob ng kanilang mga departamento.

Departamento ng Recursos Humanos (HRD)

• Makipagtulungan sa City Chief Information Security Officer (CCISO) upang mapadali ang pagpapatupad ng epektibong mga programa sa kamalayan at pagsasanay sa cybersecurity sa buong lungsod.
• Magbigay ng plataporma para sa kamalayan at pagsasanay tungkol sa cybersecurity na maaaring gamitin ng mga kagawaran upang sumunod sa pamantayang ito.
• Makipagtulungan sa mga kawani ng HR ng departamento o iba pang posisyon na itinalaga ng Departamento upang subaybayan ang partisipasyon sa pagsasanay tungkol sa kamalayan sa cybersecurity sa loob ng kanilang mga departamento.

Mga Kawani ng Departamento ng Recursos Humanos , o iba pang kawani na responsable sa pamamahala ng pagsasanay

• Panatilihin ang mga talaan ng taunang pagkumpleto ng pagsasanay para sa mga empleyado.

Mga Pinuno ng Departamento

• Tiyakin ang pagsunod sa pamantayan at programang ito sa kanilang mga departamento.

Auditor ng mga Serbisyo ng Lungsod

• Suriin ang pagsunod sa pamantayang ito.

Maaaring paghigpitan ng isang Departamento ang pag-access sa mga sistema ng impormasyon ng sinumang gumagamit na hindi sumusunod sa taunang kinakailangan sa pagsasanay sa kamalayan, hanggang sa matugunan ang kinakailangan.

• Espesyal na publikasyon ng NIST 800-50
• Espesyal na publikasyon ng NIST 800-16