Tiêu chuẩn về nhận thức và đào tạo an ninh mạng

Thành phố và Quận San Francisco cam kết xây dựng một chương trình an ninh mạng mạnh mẽ để hỗ trợ, duy trì và bảo mật thông tin và hệ thống của mình. Tiêu chuẩn Nhận thức và Đào tạo An ninh mạng là tiêu chuẩn thực hiện của Chính sách An ninh mạng Toàn thành phố.

Văn bản này thiết lập Tiêu chuẩn Đào tạo và Nhận thức về An ninh mạng của Thành phố và Quận San Francisco (CCSF). Tiêu chuẩn này sẽ giúp CCSF giảm thiểu rủi ro an ninh mạng bằng cách đào tạo người dùng, ghi lại quá trình đào tạo và truyền đạt cho họ về các biện pháp an ninh mạng tốt nhất.

Các mục tiêu của Tiêu chuẩn Đào tạo và Nhận thức về An ninh mạng bao gồm:

1. Nâng cao nhận thức của người dùng về sự cần thiết phải bảo vệ công nghệ, thông tin và hệ thống.
2. Đảm bảo người dùng hiểu rõ trách nhiệm của họ trong việc bảo vệ thông tin và hệ thống.
3. Đảm bảo người dùng nắm rõ các chính sách, tiêu chuẩn, hướng dẫn, quy trình và thực tiễn về an ninh mạng của CCSF.
4. Phát triển kiến ​​thức và kỹ năng cho người dùng để họ có thể thực hiện công việc một cách an toàn.
5. Đảm bảo CCSF tuân thủ các quy định của chính phủ liên bang, tiểu bang và địa phương cũng như các yêu cầu khác.

Tiêu chuẩn này áp dụng cho tất cả người dùng hệ thống thông tin của CCSF có quyền truy cập vào các hệ thống quan trọng. Những người dùng này có thể bao gồm: các quan chức, các viên chức được bầu, nhân viên (bao gồm cả công chức thường trực, nhân viên được miễn trừ, nhân viên tạm thời, nhân viên toàn thời gian và bán thời gian, và nhân viên dự bị), các nhà tư vấn, nhà cung cấp, thực tập sinh, tình nguyện viên, hoặc bất kỳ cá nhân nào khác làm việc thay mặt cho Thành phố và Quận San Francisco. Những cá nhân này được gọi chung là “người dùng” cho mục đích của tiêu chuẩn này.

Người dùng hệ thống thông tin CCSF có quyền truy cập vào các hệ thống quan trọng phải tham gia khóa đào tạo nâng cao nhận thức về an ninh mạng, bao gồm:

1. Tất cả người dùng đều bắt buộc phải tham gia khóa đào tạo nâng cao nhận thức về an ninh mạng hàng năm dưới hình thức đào tạo trên máy tính (CBT) hoặc các buổi hội thảo do giảng viên hướng dẫn.
2. Tất cả người dùng mới đều bắt buộc phải tham gia khóa đào tạo nâng cao nhận thức về an ninh mạng dưới hình thức đào tạo trên máy tính (CBT) hoặc các buổi hội thảo do giảng viên hướng dẫn.
3. Việc nâng cao nhận thức và đào tạo bổ sung có thể được thực hiện thông qua bản tin, áp phích, chiến dịch tấn công giả mạo, hình nền máy tính, hội thảo trực tuyến, hội thảo chuyên đề và các sự kiện an ninh mạng quốc gia.

Hồ sơ hoàn thành khóa đào tạo phải được lưu giữ và có thể truy cập bởi Cán bộ An ninh Thông tin (DISO) của bộ phận và nhân sự (HR) của bộ phận. Hồ sơ phải được lưu giữ tối thiểu 2 năm kể từ ngày hoàn thành cuối cùng, hoặc lâu hơn tùy thuộc vào yêu cầu của bộ phận.

Tất cả người dùng Hệ thống Thông tin CCSF

• Hoàn thành các khóa đào tạo bắt buộc hàng năm và tham gia các sự kiện nâng cao nhận thức khác.

Giám đốc An ninh Thông tin Thành phố (CCISO)

• Phối hợp với Phòng Nhân sự (HRD) để tạo điều kiện thuận lợi cho việc triển khai các chương trình đào tạo và nâng cao nhận thức về an ninh mạng hiệu quả trên toàn thành phố.
• Cung cấp một nền tảng nâng cao nhận thức và đào tạo về an ninh mạng mà các bộ phận có thể sử dụng để tuân thủ tiêu chuẩn này.
• Công bố chương trình đào tạo nâng cao nhận thức về an ninh mạng cơ bản dựa trên vai trò công việc hàng năm. Các phòng ban có thể tùy chỉnh chương trình đào tạo của mình để đáp ứng nhu cầu riêng.

Cán bộ An ninh Thông tin của Phòng ban (DISO) hoặc Giám đốc An ninh Thông tin

• Tổ chức các buổi đào tạo nâng cao nhận thức về an ninh mạng và các hoạt động nâng cao nhận thức khác cho các nhân viên được chỉ định trong các bộ phận tương ứng.
• Đảm bảo chương trình đào tạo và nâng cao nhận thức về an ninh mạng của bộ phận đáp ứng các yêu cầu về quy định và tuân thủ của bộ phận cũng như tiêu chuẩn này.
• Phối hợp với nhân viên phòng nhân sự hoặc vị trí khác do phòng ban chỉ định để theo dõi tỷ lệ tham gia đào tạo nâng cao nhận thức về an ninh mạng trong các phòng ban của họ.

Phòng Nhân sự (HRD)

• Phối hợp với Giám đốc An ninh Thông tin Thành phố (CCISO) để tạo điều kiện thuận lợi cho việc triển khai các chương trình đào tạo và nâng cao nhận thức về an ninh mạng hiệu quả trên toàn thành phố.
• Cung cấp một nền tảng đào tạo và nâng cao nhận thức về an ninh mạng mà các bộ phận có thể sử dụng để tuân thủ tiêu chuẩn này.
• Phối hợp với nhân viên phòng nhân sự hoặc vị trí khác do phòng ban chỉ định để theo dõi tỷ lệ tham gia đào tạo nâng cao nhận thức về an ninh mạng trong các phòng ban của họ.

Nhân viên phòng Nhân sự hoặc nhân viên khác chịu trách nhiệm quản lý đào tạo.

• Lưu giữ hồ sơ về việc hoàn thành các khóa đào tạo hàng năm của nhân viên.

Trưởng phòng ban

• Đảm bảo các bộ phận của họ tuân thủ tiêu chuẩn và chương trình này.

Kiểm toán viên dịch vụ thành phố

• Đánh giá mức độ tuân thủ tiêu chuẩn này.

Một bộ phận có thể hạn chế quyền truy cập vào hệ thống thông tin của bất kỳ người dùng nào không tuân thủ yêu cầu đào tạo nâng cao nhận thức hàng năm, cho đến khi yêu cầu đó được đáp ứng.

• Ấn phẩm đặc biệt 800-50 của NIST
• Ấn phẩm đặc biệt 800-16 của NIST