网络安全能力成熟度模型的第三维度着眼于高质量网络安全教育、培训和提高认识的活动在全国的可行性，以及开发和实施这些活动的能力。这包括向政府各利益相关方、私营部门和一般民众提供教育和培训。

PS：报告中淡紫色方框是对本段内容重点的提示、面临挑战和补充，淡蓝色方框是现行的一些最佳实践（政策、活动等）、橘黄色方框是要政府要着重关注的点、末尾灰绿色方框是本节报告所参考的资料。由于一些敏感词会背屏蔽，有些词会用其他字代替，各位请自行意会。

之前两个维度，请参考个人以往发表的文章。

第三维度简介

网络安全能力成熟度模型的第三维度着眼于高质量网络安全教育、培训和提高认识的活动在全国的可行性，以及开发和实施这些活动的能力。这包括向政府各利益相关方、私营部门和一般民众提供教育和培训。

GCSCC CMM的这个维度包括三个要素。以下各节将讨论国家决策者在这些问题领域建立能力可采取的能力建设步骤，这些步骤包括：

1. D3.1 – Awareness raising

这一要素关注针对公共、私营、学术和大众社会部门以及公众利益的网络安全意识规划和倡议可行性、提供能力以及被接受的情况。。

2. D3.2 – Framework for cybersecurity education

该要素的重点是，在中小学和高等教育阶段提供网络安全教育的有效性和可行性。

3. D3.3 – Framework for professional training

该要素的重点是，提供专业网络安全培训，用以培养网络安全专业骨干人才，包括通过组织内部的横向和纵向网络安全知识转移，以及通过持续的技能提升。

正文

Dimension III : Cybersecurity, education, training and skills

D3.2 – Framework for cybersecurity education

概述

该要素的重点是提高中小学和高等教育中对网络安全教育的可获得性和可提供性。专业背景下的教育(即高等教育后)不在这一因素内，因为下节D3.3(专业培训框架)对此作了详细讨论。

在一般层面上，网络安全教育的目的是为学生提供足够的知识和技能，让他们在网络安全或IT密集型领域追求成功的职业生涯，并鼓励学生选择职业道路。它不仅仅是意识的提高，如前一要素所述，提高意识的目的仅仅是引起行为上的改变，以便在个人和公司层面增加安全。网络安全教育应培养公共和私营部门在上述领域所需的具体技术和非技术(例如战略和管理)技能。

建立国家网络安全教育框架涉及多个步骤，表3.2提供了提高国家在这一领域的能力建设步骤。

表3.2 国家网络安全教育框架的发展步骤（D3.2）

能力建设步骤

为监督教育计划和与公共机构及相关私营机构的利益相关者保持联络，指派负责人

制定国家网络安全框架的第一步是在国家政府内部指定任务所有者，负责提供初级、中级和高等的网络安全教育。其应为设计和实施国家级网络安全教育框架提供监督并承担责任。

绘制现有网络安全教育框架，并找出存在的不足

一旦指定了任务所有者，就需要采取一系列步骤来设计和规划旨在提供有效网络安全教育的计划或倡议。早期实现步骤中应该包括审查和绘制现有网络安全教育版图，其中包括：

利益相关方

现有网络安全教育

现有资格与认证计划

专业领域现有和以后所需要的内容

在上述第一点的基础上，重要的是了解网络安全利益相关者。这包括已参与直接提供网络安全教育的机构，以及因其组织或工作领域的性质而希望参与和支持提供进一步网络安全教育的机构。绘制利益相关方关系图的原因有很多，包括减少无意义的重复活动，并通过改善知识转换和提高政府与有效伙伴关系的潜力，支持制定更有效的长期政策。利益相关者的范围因国家而异，可能包括公立和私立学校、大学和教育中心、ISP、私营网络安全公司、非盈利组织以及其他相关的公益基金和政府机构。

为网络安全教育计划选择目标群体

在进行初步绘制工作后，应选定网络安全教育计划的目标受众。受众群体的分类和选择可以不同的粒度区分。例如，听众可以分为以下表3.2.1所示的领域和相关目标。

表3.2.1 网络安全教育目标群体与教育目标

然而，也可能会进行更细化的分类，特别是在解决现有网络安全教育能力与未来需求存在的差距问题上。

网络安全教育项目的目标受众分类和选择应根据国家情况而定。尽管如此，在最后确定方案的设计和实施之前，应能够清楚地确定目标对象是谁。

为开展教育计划开发一个合适的框架

在实施网络安全教育计划之前，建立一个全面的实施框架也很重要。简单地说，应该就如何开展教育方案作出决定。这个规划阶段可以分为以下两个方面：

利益相关方关系

材料交付的格式

任务所有者和非中央政府利益相关者之间的关系可以根据许多不同的模型来发展，包括公共部门模型、公私混合模型和私营模型。公共部门只需利用政府内部资源无外包形式，寻求提供所有网络安全教育模式，而私营模型将寻求单独由私营部门利用市场调节机制增加体量并提高网络安全教育的质量。然而，最常用的模式之一是公私混合，即政府和一或多个私营部门同意通过正式协议共同提供产品或服务。

PPP（public-private partnerships）有许多不同类型，包括：资本投资，即政府利用税收为私营机构注入资金，以提供服务；私营机构融资计划，由私营机构为政府提供资金，以开展服务；以及实物，政府提供赠款或财政补贴，使特定项目对私营部门更具吸引力。公私合作关系有很多优点，包括将风险转移到私营部门，以及提高利用私营部门中已建立的现有基础设施和专业知识的效率。然而，PPP也存在自身的风险，如交易成本上升、政府对公共投资的控制减少、服务质量下降等。在网络安全领域，相当大比例的基础设施和专业知识是由私营部门发现的，但网络安全领域的公私合作尤具挑战性，因为人们对信任、控制和披露以及一些国家存在的复杂监管和网络安全法律框架感到担忧。

除了开发一个模型来定义政府与利益相关者的关系外，网络安全教育计划还应该决定内容交付的格式——简而言之就是，该教育计划实际将如何交付？这在很大程度上受到目标受众选择和利益相关者关系因素的影响，但在每个类别中都有很多选择。在此方面，国家教育部应在确定教育质量上发挥其重要作用：

如何将网络安全加入现有课程中

如何在高等教育和高校中鼓励开发网络安全课程

例如，在小学或中学里，网络安全教育方案的重点可能是向学生提供基本的数字化理解，使他们拥有充足的教育资源，并确保有合格的教师来传授网络安全课程。这可以通过向现有的学校教师提供网络安全培训和认证，或者聘请来自学术界、行业或政府的外部专家来校提供专业课程来实现。然后，这些课程可以由独立定制化开发的教材支持，也可以通过调整现有在线教材来支持。

此外，在大学里，国家政府可以通过多种方式促进和推动提供专业网络安全教育，包括以下方式：

为大学部门提供资金，以发展网络安全研究和教育

通过提供助学金、行业实习和/或毕业生就业机会，鼓励学生选择包括网络安全和/或网络安全专业的大学学位

建立网络安全高级学术中心，作为研究和教育中心

鼓励在国内和国际的学术机构间建立网络和信息共享

在教育机构和其他网络安全利益者之间建立伙伴关系，以促进网络安全教育倡议(如，在课程设计和交付、见习、培训、实习和奖学金方面的合作)。

与公共和私营部门、学术界和民间团体的利益相关方协商，评估和修改网络安全教育和培训；确保持续提供和改进网络教育及培训

与公共政策的各领域一样，重点是评估所有网络安全教育计划的有效性，以评估投资的价值，确定需要改进的领域，并从已证明效果不佳的因素中学习。为了度量效果，应该开发适当的度量标准(定量的、定性的，或者两者都要)。

例如，在评估为学校教师提供的网络和信息安全培训时，ENISA提出了一些指标，包括：

参与者数量

培训效果回顾

学员考试成绩的改善

减少学校网络安全事件的记录，如欺诈或黑客攻击

和所有评价一样，应对有关方案的活动、输出、成果和影响要采用不同的指标和权重。应定期进行评估，以根据网络安全领域的环境变化或在较早的评估之后对程序所作的更改来评估效果。

更先进的网络安全教育项目可能会超越上述能力建设步骤，开发更复杂的机制，以确保教育框架能够适应网络安全威胁的不断变化。这些可能包括，例如，建立一个由业界、学术界、政府和教育界专家和教育工作者组成的网络，以促进有效的信息传递。为制订更先进的教育方案，建议政府的利益相关方考虑不同国家采用的新颖方法，并酌情根据自身情况进行调整。