Gör dodd 8510-1m kräver iaso att säkerställa personal får systemspecifika och årliga ia medvetenhet utbildning?

Gör dodd 8510-1m kräver iaso att säkerställa personal får systemspecifika och årliga ia medvetenhet utbildning?

8510.01M undertecknades år 2000 skrevs att gå med DITSCAP (DoDI 5200.40 - undertecknades 1997), som sedan dess har ersatts av DIACAP (DODI 8510.01 - i 2007)

I slutändan ansvaret för utbildningen ligger hos IAM, men IAM kan och ofta gör, delegera ansvaret till IAO.

C3.4.4 kräver förberedelser och hot beskrivning, som i sin tur kräver:
C3.4.4.2.1.8. träning. Identifiera den utbildning för personer med anknytning till systemets funktion och avgöra om utbildningen som är lämplig till deras nivå och ansvarsområde. Denna utbildning bör ge information om säkerhetsprincipen styr informationen bearbetas samt potentiella hot och arten av de lämpliga motåtgärderna.

C3.4.7 kräver identifierande C & A organisationer och de resurser som krävs, vilket inkluderar:
C3.4.7.2.3. resurser och utbildningskrav. Beskriva utbildningskrav, typer av utbildning, som är ansvarig för att förbereda och genomföra utbildningen, vilken utrustning krävs, och vad utbildning enheter måste utvecklas för att genomföra utbildningen, om utbildning krävs. Finansiering för utbildning måste identifieras.

C5.1.2 diskuterar attesteras, bland annat "utbildning, utbildning och medvetenhet säkerhetskraven".

C5.2.4.3 kräver: programchef, användaren företrädare och ISSO bör se till att rätt säkerhet operativa förfaranden, riktlinjer, och utbildning levereras med systemet. Observera att termen ISSO har ersatts av IASO i nuvarande IA terminologi.

C5.3.9.2 kräver: "att säkerheten av beteende, en medvetenheten och utbildningsprogram och en Incident Response Program är på plats och är aktuella"

Tillägg 2, "MINIMAL säkerhet aktivitet checklistan" innehåller frågorna:

Tabell AP2. T11.
10.(h) gör ISSO uppgifter hör bland annat följande:
Genomförande eller övervakning av genomförandet av säkerhet och utbildning
och medvetenhet Program?

Tabell AP2. T12.
3.(o) anställda få fortbildning inom följande områden:
(1) power stänga och starta upp rutiner?
(2) drift av reservkraft?
(3) drift av brand detection och alarm system?
(4) användning av fire suppression utrustning?
(5) bygga Utrymningsförfaranden?

Om du undersöka DoDI 8500.2, hittar du krav behandlar utbildning inklusive:
5.9 varje IA Manager, förutom uppfyller alla skyldigheter för en auktoriserad användare, skall: (5.9.2) säkerställa att alla IAOs och privilegierade användare får den nödvändiga tekniska och IA utbildning, utbildning och certifiering för deras IA uppgifter.

E3.3.7. kräver att:
Alla DoD medarbetare och IT-användare skall iaktta förståelse
av IA politik och doktrinen står i proportion till sitt ansvar. De skall klara att på lämpligt sätt bemöta och rapportering av misstänkta aktiviteter och förhållanden, och de skall veta hur till skydda informationen och det de tillgång. Att uppnå denna förståelse, alla DoD medarbetare och IT-användare skall få både initiala och periodiska IA repetitionsutbildning. Krävs kontra faktiska IA medvetenhet utbildning skall vara en management review artikel.

E3.4.6. Information Assurance chefer (IAMs) ansvarar för att fastställa,
införa och tillämpa programmet DoD information system IA och för
dokumentera IA programmet genom DoD IA C & A processen. Programmet skall omfatta förfaranden för:
E3.4.6.6. spårning följs de kontroller av IA till DoD informationssystem och rapportering IA management granska objekt, till exempel C & A status, överensstämmelse med säkerhetskrav för personal, utbildning och utbildningskrav och efterlevnad CTOs, IAVAs och andra riktade lösningar.

Inom kontrollen av 8500.2 hittar du följande kontroller:
VIIR-1 incidentrespons planering
En plan för incidentrespons finns som identifierar ansvarig CND tjänsteleverantören i enlighet med DoD instruktion O-8530.2, definierar Rapporterbara händelser, beskriver ett normalförfarande för incidentrespons att inkludera INFOCON, ger för användarutbildning och upprättar en incident response team. Planen övas åtminstone årligen.
VIIR-2 incidentrespons planering
En plan för incidentrespons finns som identifierar ansvarig CND tjänsteleverantören i enlighet med DoD instruktion O-8530.2, definierar Rapporterbara händelser, beskriver ett normalförfarande för incidentrespons att inkludera INFOCON, ger för användarutbildning och upprättar en incident response team. Planen övas minst var 6 månad.
PENTYL-1 miljökontroll utbildning
Anställda får första och återkommande utbildning i driften av miljökontroll.
PRTN-1 Information Assurance Training
Ett program genomförs för att säkerställa att vid ankomsten och därefter regelbundet all personal får utbildning och skolning att utföra sina tilldelade IA ansvar, för att inkludera förtrogenhet med sina föreskrivna roller i alla IA - relaterade planer som incidenter, konfigurationshantering och COOP eller katastrof återhämtning.

Mallar för validering av kontroller av systemet validators innehåller följande instruktioner:
För PRRB-1:
1. en uppsättning regler som beskriver IA verksamheten i DoD informationssystem och tydligt avgränsa IA ansvar och förväntat beteende för all personal skall vara på plats.
2. reglerna skall inbegripa följderna av inkonsekvent beteende eller underlåtenhet.
3. undertecknad bekräftelse av reglerna skall vara ett villkor för.
4. utbildning eller påminnelse om IA operationer reglerna och uppförandekod skall vara utförda på årsbasis, eller så ofta som enligt DoD policy.

För PRTN-1
1. en uppsättning regler som beskriver IA verksamheten i DoD informationssystem och tydligt avgränsa IA ansvar och förväntat beteende för all personal skall vara på plats.
2. reglerna skall inbegripa följderna av inkonsekvent beteende eller underlåtenhet.
3. undertecknad bekräftelse av reglerna skall vara ett villkor för.
4. utbildning eller påminnelse om IA operationer reglerna och uppförandekod skall vara utförda på årsbasis, eller så ofta som enligt DoD policy.