企业资讯安全认知及教育训练的规划与执行-ISO27001与TISAX要求整理及建议

先讲笔者的建议及结论：
1.无论ISO27001或TISAX都要求「定期」，建议至少一年一次。
2.要资安宣导、资安教育训练等年度计画，并经管理阶层核准及公告。
3.要有针对不同目标族群的课程设计及执行，例如：
　(1) 一般员工和管理阶层
　(2) 新进人员
　(3) IT及资安专业人员
　(4) 外部关注方，如供应商 (重点在资安政策及供应商安全要求认知，可用文件阅读方式)
4.针对事件进行训练及认知。例如：
　(1) 配合社交工程
　　* 一般人员认知宣导
　　* 奖励名单 (有回报)
　　* 加强教育训练人员(误点人员)
　(2) 配合弱扫结果
　　* 资安人员/资讯人员
5.「资讯安全联繫窗口/负责人」要公告，让全体员工知道 (可设计在内网EIP及教育训验内容)
6.为员工进行意识和培训的概念已经準备就绪。至少要考虑以下方面：(TISAX合规要求，ISO27001验证Only的企业可斟酌参考)

资讯安全政策资讯安全事件报告对发生恶意软体的反应有关用户帐户和登录资讯的政策（例如密码政策）资讯安全合规性问题转发需要保护的资讯时有关使用保密协议的要求和程序使用外部IT服务/云服务的规定违反资安规定的惩处让员工认识资讯安全联络人员特定主题、资安新闻时事之资安宣导

以下针对ISO27001要求、ISO27002的指引、TISAX的要求整理如下：

---

ISO27001:2022要求彙整

(本文)7.3认知：资安政策、可有效性贡献与改善绩效益处、违反规定之后果A.5.1.1资讯安全政策：资讯安全政策及主题特定政策应予以定义，由管理层核可、发布、传达予相关人员及相关关注方，且其係知悉，并依规划期间及发生重大变更时审查。A.6.3资讯安全认知及教育训練：组织及相关关注方之人员，均应接受与其工作职能相关的组织资讯安全政策、主题特定政策及程序之适切资讯安全认知及教育训练，并定期更新。A.8.7防範惡意软体：应实作防範恶意软体之措施，并由适切的使用者认知支援之。

---

ISO27002:2022指引建议彙整

ISO27002为ISO27001的指引，是ISO27001控制要求官方最完整的建议参考。
7.6.3 资讯安全认知、教育及训练：

通则：

应根据本组织的资讯安全政策和相关程序制订资讯安全意识、教育和训练方案，同时考虑到本组织需要保护的资讯以及为保护资讯而实施的控制措施。应定期开展资讯安全意识、教育和训练。 最初的认识、教育和训练可能适用于新人员，以及那些调到新职位或角色的人员，这些职位或角色具有实质上不同的资讯安全要求。

宣导

资讯安全意识方案应旨在使人员意识到他们对资讯安全的责任以及履行这些责任的管道。在规划提高认识方案时，应考虑到组织内人员的作用，包括内部和外部人员（如外部顾问、供应商人员）。提高认识方案中的活动应按时间安排，最好是定期安排，以便重複这些活动并涵盖新人员。 还应借鑒从资讯安全事件中吸取的经验教训。提高认识方案应包括通过适当的实体或虚拟通路开展的一些提高认识活动，如宣传活动、小册子、海报、通讯、网站、资讯会议、简报、电子学习模块和电子邮件。 应在意识、教育或训练活动结束时评估人员的理解，以测试知识转移和意识方案的有效性。 资讯安全意识还应包括以下一般方面：
a）说明管理层对整个组织资讯安全的承诺；
b）需要熟悉并遵守资讯安全政策和特定主题政策、标準、法律、法规、规章、契约和协定中定义的适用资讯安全规则和义务；
c）个人对自己的作为和不作为的责任，以及保护属于组织和相关方的资讯的一般责任；
d）基本资讯安全程序（如资讯安全事件报告）和基本控制（如密码安全、恶意软体控制和清除案头）；
e）联系窗口和资源，以获取关于资讯安全事项的更多资讯和建议，包括进一步的资讯安全意识资料。

教育和训练

组织应确定、编制和实施适当的科技团队训练计画，这些团队的角色需要特定的技能和专业知识。 科技团队应具备配置和维护设备、应用程序和云服务所需安全级别的技能。 如果缺少技能，组织应採取行动并获取这些技能。教育和训练方案应考虑不同的形式，例如讲座或自学，由专家工作人员或顾问指导（在职训练），轮换工作人员从事不同的活动，招聘已经熟练的人员，以及聘用顾问。 它可以使用不同的交付媒体，包括课堂、远距学习、网路、自定进度等。 科技人员应通过订阅时事通讯和杂誌或参加旨在提高科技和专业水準的会议和活动，使其知识保持最新。资讯安全教育和训练应定期进行。 初始教育和训练应适用于新人员以及那些调到具有实质性不同资讯安全要求的新职位或角色的人员。

---

TISAX Information security (ISA 5.1.0 /6.0.1适用)要求彙整

1.1.1政策以适当的形式（例如内网）提供给员工。
1.2.4负责人员受到充分的培训(外部IT/云服务商之负责人员)
2.1.3让员工认知处理资讯所产生的风险并对其进行训练，要实施到什么程度？

M1:员工要接受训练并提高认知。S1:为员工进行意识和培训的概念已经準备就绪。至少要考虑以下方面：
-资讯安全政策
-资讯安全事件报告
-对发生恶意软体的反应
-有关用户帐户和登录资讯的政策（例如密码政策）
-资讯安全合规性问题
-转发需要保护的资讯时有关使用保密协议的要求和程序
-使用外部IT服务/云服务的规定S2:在训练概念中识别并考虑训练和认知措施的目标群体 (例如： 新进员工、管理者、可以存取客户网路的员工）。S3:该概念已得到负责管理层的核准。S4:定期和针对事件进行训练和提高认知措施。S5:文件化参与训练和认知措施。S6:让员工认识资讯安全联络人员。

7.1.1遵循法规和合约条款要确认到什么程度 ?

M2:定义、实施并传达给负责人有关遵循要求事项的政策

---

TISAX Prototype Protection (ISA 5.1.0 /6.0.1适用)要求彙整

8.2.3有关原型处理的培训和意识措施

M1:确保训练 /认知计划由管理层进行M2:在进入专案时训练员工和专案成员处理原型。M3:对员工进行原型处理方面的定期（最少每年）训练M4:确保员工和专案成员了解各自的保护需求以及由此产生的公司内部措施M5:每个员工和专案成员都必须参与培训和意识措施M6:文件化执行内容M7:关于原型保护的训练概念是一般训练概念的一个组成部分（参见资讯安全控制 2.1.3)

---

本文作者：AllanLo，资安顾问，ISO27001、TISAX认证辅导顾问。
企业资安议题欢迎交流。
allanlo.plus@gmail.com