第10章。
安全意识、培训和教育
委员会提高安全的建议的成功将部分取决于我们如何将风险管理,标准化,互惠性,问责制和服务心理纳入我们的业务和劳动力面料的方式。安全教育界在此过程中发挥着关键作用。委员会正在提出我们如何查看和管理安全性的根本变革。这些概念支持每个人的需求更大的责任。管理层必须接受教育其在新环境中的职责,并提供了有效施加风险管理的工具。多学科安全专业人员需要了解“为什么”以及安全性的“如何”,以便远离合规或清单心态以实现客户服务理念。员工需要了解他们的关键作用,并认为他们在识别和实施其组织保护其资产的目标和目标方面有个人股份。
目前的
国防和情报部门都有广泛的培训基础设施,主要针对各自的需求。在各种培训设施中,关于课程和获得课程和材料的相互作用充其量是非正式的。各机构和部门之间的培训标准和要求也有所不同,导致保安人员的表现水平参差不齐。虽然委员会认识到各机构和部门需要具体的培训和标准,但这些独立的努力造成培训质量不一致,造成工作重复,并加强对国家政策的狭隘解释和执行。委员会还发现,尽管安全意识、培训和教育项目很重要,但这些项目往往是预算削减的经常性目标。
培训未来
未来的安全系统将对整个工作人员提出更大的要求,特别是对安全专业人员。对安全问题的创造性和成本效益解决方案的关注需要对安全政策、做法和程序的精神和文字都有透彻的理解。安全专业人员将被要求实施我们所提议的变更,并提供使风险管理成为现实所需的专家意见。必须利用和引导塑造当前安全体系的专门知识和能量,以迎接新安全环境的挑战。安全培训项目的标准化和职业发展轨道的发展是这一过程中的重要步骤,应该是培训界的首要目标。保安专业人员所传授的技能和知识必须统一,这不仅是为了确保工作质量,也是为了促进对保安政策和程序的共同理解和执行。政府机构和设施之间的互惠需求强烈要求建立一个职业规划结构,定义安全学科的熟练程度、专业化标准、跨学科培训、轮岗任务和晋升机会。
正如本报告的信息系统安全章节所指出的,没有什么地方比信息系统安全更需要标准化和专业化。由于缺乏合格的人员和没有提供足够的资源,许多信息系统的安全任务没有得到充分执行。关键的安全责任常常被分配为附加的或辅助的职责。我们没有确定信息系统安全专业人员要执行的所有任务和职能,也缺乏对信息系统安全官员的全面、一致的培训;安全工程师负责开发安全系统、网络和安全工具;以及能够保证我们的网络安全运行的认证人和授权人。此外,在信息系统安全和TSCM等技术领域,我们应该在攻守双方之间提供交叉培训,使一方的经验教训对另一方有益。
建立在某些地方已经存在的非正式合作,应建立国防和情报社区之间的正式伙伴关系,以实现这些目标并实现成本效率。这样的伙伴关系将基于联合使用培训设施,创造普通职业领域和专业化计划的培训,以及将培训管理职能的整合融入安全培训的执行代理人。执行代理人将与各机构和部门合作合作:
o识别和编目和智能群落的安全培训和协调课程的发展以满足要求。
o集中培训资源,促进社区使用现有的培训中心和产品,并集中投资于培训技术。
o实施课程评审和教师认证。
o建立社区课程代码,建立可用培训的中心数据库。
o制定保安职业化标准。
建议74
委员会建议委任安全培训执行代理。本行政代理应规范安全培训,制定安全专业化标准,鼓励联合使用培训设施,并强调信息系统安全培训的发展。
还需要一项专注的努力来教育管理层及其安全责任,并教导有效风险管理原则及其在安全对策中的申请。由于内部人士被认为是当今政府和行业中信息保护的主要威胁,管理人员必须知道如何发现陷入困境的员工,如何帮助他们,有哪些资源,以及如何使用这些资源来抵消内部威胁。
在冷战后的环境中,让雇员意识到安全的持续需要将是一项挑战。必须继续让政府和企业意识到他们保护国家资产的责任。然而,委员会发现,安全意识简报虽然是一种有效的接触员工的方式,但经常被视为无聊、无关紧要和过时。演讲通常以同样的方式进行,不管听众是新员工还是高级管理人员。安全意识项目需要针对受众进行调整,并重新聚焦于提供多样化和多方面威胁的当前具体例子,强调当前反情报问题和信息系统安全等主题。金博宝正规网址
建议75
委员会建议更加重视为管理和最新的安全意识项目开发和资助安全教育课程。