網路安全意識與培訓標準

舊金山市和縣致力於建立強大的網路安全計劃，以支援、維護和保護其資訊和系統。 《網路安全意識培訓標準》是全市網路安全政策的實施標準。

本文件確立了三藩市市及縣（CCSF）網路安全意識和培訓標準。該標準旨在透過培訓使用者、記錄培訓內容以及與使用者溝通網路安全最佳實踐，幫助CCSF降低網路安全風險。

網路安全意識和培訓標準的目標包括：

1. 提高使用者對保護技術、資訊和系統必要性的認識。
2. 確保使用者清楚了解他們在保護資訊和系統方面的責任。
3. 確保使用者了解 CCSF 網路安全政策、標準、指南、程序和實務。
4. 提升使用者知識和技能，使其能夠安全地履行職責。
5. 確保 CCSF 遵守聯邦、州和地方政府的法規及其他要求。

本標準適用於所有有權存取關鍵系統的舊金山城市學院（CCSF）資訊系統使用者。這些使用者可能包括：官員、民選官員、僱員（包括正式公務員、豁免僱員、臨時僱員、全職和兼職僱員以及臨時工）、顧問、供應商、實習生、志願者，或任何其他代表三藩市市和縣工作的個人。在本標準中，這些人員統稱為「使用者」。

擁有存取關鍵系統權限的CCSF資訊系統使用者應參加網路安全意識培訓，包括：

1. 所有使用者都必須參加年度網路安全意識培訓，培訓​​形式可以是電腦輔助培訓 (CBT) 或講師指導的研討會。
2. 所有新使用者都必須參加強制性網路安全意識培訓，培訓​​形式可以是電腦輔助培訓 (CBT) 或講師指導的研討會。
3. 可以透過簡報、海報、網路釣魚活動、螢幕保護程式、網路廣播、研討會和國家網路安全相關活動來加強意識和提供額外培訓。

培訓完成記錄須由部門資訊安全官 (DISO) 和部門Recursos Humanos(HR) 人員保存並可查閱。記錄應至少自最後一次完成日期起保存 2 年，或根據部門要求保存更長時間。

CCSF資訊系統的所有用戶

• 完成年度必修培訓並參與其他宣傳活動。

城市首席資訊安全長 (CCISO)

• 與部門( Recursos Humanos ) 合作，促進在全市範圍內實施有效的網路安全意識和培訓計劃。
• 提供一個網路安全意識和培訓平台，供各部門用於遵守本標準。
• 發布年度基於角色的網路安全意識基礎培訓。各部門可依自身需求客製化培訓計畫。

部門資訊安全官 (DISO) 或首席資訊安全官

• 為各部門指定員工組織網路安全意識培訓及其他意識提升活動。
• 確保部門的網路安全意識和培訓計劃符合部門的監管和合法規遵循要求以及本標準。
• 與部門人力資源人員或部門指定的其他人員合作，追蹤其部門內網路安全意識培訓的參與。

Recursos Humanos( 部門 )

• 與市府首席資訊安全長 (CCISO) 合作，促進在全市範圍內實施有效的網路安全意識和培訓計劃。
• 提供一個網路安全意識和培訓平台，供各部門用於遵守本標準。
• 與部門人力資源人員或部門指定的其他人員合作，追蹤其部門內網路安全意識培訓的參與。

部門Recursos Humanos人員或其他負責訓練管理的人員

• 保存員工年度培訓完成情況紀錄。

部門主管

• 確保各部門法規遵循此標準和程序。

城市服務審計員

• 評估法規遵循此標準。

對於未能遵守年度意識培訓要求的用戶，部門可以限制其存取資訊系統，直到其滿足該要求為止。

• NIST 特別出版品 800-50
• NIST 特別出版品 800-16