Pamantayan sa kaalaman at pagsasanay sa cybersecurity

Ang Lungsod at County ng San Francisco ay nakatuon sa pagbuo ng isang malakas na programa sa cybersecurity upang suportahan, panatilihin, at secure ang impormasyon at mga sistema nito. Ang Cybersecurity Awareness and Training Standard ay isang implementing standard ng Citywide Cybersecurity Policy.

Layunin at saklaw

Ang dokumentong ito ay nagtatatag ng City and County of San Francisco (CCSF) Cybersecurity Awareness and Training Standard. Ang pamantayan ay makakatulong sa CCSF na mapagaan ang mga panganib sa cybersecurity sa pamamagitan ng pagsasanay sa mga user, pagdodokumento ng pagsasanay, at pakikipag-usap sa kanila tungkol sa mga pinakamahusay na kagawian sa cybersecurity.

Ang mga layunin ng Cybersecurity Awareness and Training Standard ay kinabibilangan ng:

1. Pagpapabuti ng kamalayan ng user sa pangangailangang protektahan ang teknolohiya, impormasyon, at mga system.
2. Tinitiyak na malinaw na nauunawaan ng mga user ang kanilang mga responsibilidad sa pagprotekta sa impormasyon at mga system.
3. Pagtitiyak na may kaalaman ang mga user tungkol sa mga patakaran, pamantayan, alituntunin, pamamaraan at kasanayan sa CCSF cybersecurity.
4. Pagbuo ng kaalaman at kasanayan ng user upang maisagawa nila ang kanilang mga trabaho nang ligtas.
5. Pagtiyak na sumusunod ang CCSF sa mga regulasyon ng pederal, estado at lokal na pamahalaan at iba pang mga kinakailangan.

Nalalapat ang pamantayang ito sa lahat ng gumagamit ng mga sistema ng impormasyon ng CCSF na may access sa mga kritikal na sistema. Maaaring kabilang sa mga user na ito ang: mga opisyal, inihalal na opisyal, empleyado (kabilang ang permanenteng serbisyong sibil, exempt, pansamantala, buo at part time, at pansamantala), consultant, vendor, intern, boluntaryo, o sinumang indibidwal na nagtatrabaho sa ngalan ng Lungsod at County ng San Francisco. Ang mga indibidwal na ito ay sama-samang tinutukoy bilang "mga gumagamit" para sa mga layunin ng pamantayang ito.

Mga kinakailangan

Ang mga gumagamit ng mga sistema ng impormasyon ng CCSF na may access sa mga kritikal na sistema ay dapat lumahok sa pagsasanay sa kaalaman sa cybersecurity, kabilang ang:

1. Ang lahat ng mga user ay kinakailangang kumuha ng taunang cybersecurity awareness training sa anyo ng Computer- Based-Training (CBT) o mga workshop na pinangungunahan ng instructor.
2. Ang lahat ng mga bagong user ay kinakailangang kumuha ng mandatoryong pagsasanay sa kamalayan sa cybersecurity sa anyo ng CBT o mga workshop na pinangungunahan ng instructor.
3. Ang pagpapatibay ng kamalayan at karagdagang pagsasanay ay maaaring ibigay sa pamamagitan ng mga newsletter, poster, phishing campaign, screensaver, webcast, workshop at pambansang mga kaganapang nauugnay sa cybersecurity.

Ang mga rekord ng pagkumpleto ng pagsasanay ay kinakailangang panatilihin ng at naa-access ng Departmental Information Security Officer (DISO) at kawani ng departamento ng human resources (HR). Ang mga rekord ay dapat panatilihin nang hindi bababa sa 2 taon mula sa huling petsa ng pagkumpleto, o mas matagal depende sa mga kinakailangan ng departamento.

Naaprubahan noong Nobyembre 21, 2019