网络安全能力成熟度模型的第三维度着眼于高质量网络安全教育、培训和提高认识的活动在全国的可行性，以及开发和实施这些活动的能力。这包括向政府各利益相关方、私营部门和一般民众提供教育和培训。

PS：报告中淡紫色方框是对本段内容重点的提示、面临挑战和补充，淡蓝色方框是现行的一些最佳实践（政策、活动等）、橘黄色方框是要政府要着重关注的点、末尾灰绿色方框是本节报告所参考的资料。由于一些敏感词会背屏蔽，有些词会用其他字代替，各位请自行意会。

之前两个维度，请参考个人以往发表的文章。

第三维度简介

网络安全能力成熟度模型的第三维度着眼于高质量网络安全教育、培训和提高认识的活动在全国的可行性，以及开发和实施这些活动的能力。这包括向政府各利益相关方、私营部门和一般民众提供教育和培训。

GCSCC CMM的这个维度包括三个要素。以下各节将讨论国家决策者在这些问题领域建立能力可采取的能力建设步骤，这些步骤包括：

1. D3.1 – Awareness raising

这一要素关注针对公共、私营、学术和大众社会部门以及公众利益的网络安全意识规划和倡议可行性、提供能力以及被接受的情况。。

2. D3.2 – Framework for cybersecurity education

该要素的重点是，在中小学和高等教育阶段提供网络安全教育的有效性和可行性。

3. D3.3 – Framework for professional training

该要素的重点是，提供专业网络安全培训，用以培养网络安全专业骨干人才，包括通过组织内部的横向和纵向网络安全知识转移，以及通过持续的技能提升。

正文

Dimension III : Cybersecurity, education, training and skills

D3.3 – Framework for professional training

概述

本节将考虑提供专业网络安全培训和教育，即为目前工作或曾在专业环境工作过的个人提供网络安全培训。它概述了在开发满足当前和未来国家网络安全劳动力需求的专业网络安全培训计划时所需的一些步骤和考虑事项。

本节与之前内容有明显的重叠，尤其是在高等教育部分。例如，提供高等教育——通过大学学位，专职课程，学徒等——不仅是针对毕业于中等教育的学生，同样也为在职专业人士寻求工作进展或更换工作提供了机会。

表3.3 改善网络安全相关领域专业培训框架的步骤（D3.3）

能力建设步骤

指派一位负责人开发和实施国家级的网络安全培训项目

在国家层面制定和实施专业网络安全培训计划的第一步是在适当的政府部门内指派一位负责人。他应牵头制定和协调国家级专业网络安全技能发展项目，并与其他利益相关者密切合作，设计、实施和评估某些教育项目。开发专业培训和教育的负责人通常与用于初级、中级和高等网络安全教育的负责人相同或密切相关(见上文D3.2)，但并非绝对。

 对公共和私营部门的不同目标群体进行网络安全培训需求分析，以确定网络安全培训的不足

在开展向网络安全专业人员提供教育的项目之前，有必要了解“网络安全专业人员”的定义人群，并评估网络安全专业人员的数量和技能对市场需求的满足程度。换句话说，重要的是要了解“网络安全专业人员”或“网络安全人员”适用于哪些人，以及这些人能够在多大程度上满足公共和私营部门的网络安全需求。

通常来讲，“网络安全专业人员”(即专业教育计划的受众)可以指涉及私营、公共以及非营利组织网络安全和信息安全的技术/非技术专业人员。这包括来自私营网络安全公司的个人、ICP提供商、使用IT密集型流程和基础设施的私营公司、设计和运营电子政务的政府部门、国家军队、大学、私营和非营利性网络安全教育提供商等。

培训需求评估可以在不同的粒度级别进行，并根据公/私部门的工作领域而有所不同。例如，兰德欧洲公司(RAND Europe)在2013年为欧洲防务局(European Defence Agency)牵头进行的一项研究，确定了欧洲军队网络安全培训的四个目标受众：综合型人才、网络防御专家、字母西4（敏感屏蔽说明）人员和高级军官。这四类目标受众都需要不同程度的网络教育，并为提高其熟练程度而量身定制的不同类型的教育和培训活动。在现有的资源限制下，可能无法对所有部门的网络安全员工进行这种程度的初始匹配和评估，因此相应地，可以对关注的领域和粒度级别进行相应调整。

现已发布多套框架来帮助分解和评估网络安全人员。特别是，美国NIST已发布一个详细的框架，对网络安全人员的高级和专业级别进行了定义，并提供了评估当前能力和当前、未来需求的建议。此外，美国政府还对网络安全人员的不同基础（能力）进行了分析和评估，如2013年网络安全IT人员评估(ITWAC)，评估了美国政府网络安全人员的构成、能力和进修培训的需求。

评估公共和私营部门为不同目标受众提供适当网络安全培训的有效性

制定国家级专业网络安全教育计划的下一阶段是理解并描绘提供专业网络安全教育的利益相关者，以及现有网络安全培训的范围和质量。换句话说，在确定现有网络安全人员的构成和需求(上一阶段)之后，重要的是评估现有的教育条款能够在多大程度上满足这些需求。即使以前没有提供过公共资金或网络安全培训的情况下，也建议这样开展，因为其他部门——特别是私营部门、大学和非营利组织——可能已经提供了某种形式的专业教育和发展计划。

通过将现有培训需求、当前以及未来的人力需求与现有的专业教育进行对比，就可能发现政府所支持提供的专业网络安全培训和重点领域的差距。这类分析还可以帮助确定可能的合作与伙伴关系，从而使政府能够利用、支持和改进（而不是重复或忽视）跨部门的网络安全培训和教育的现有提供方式。

为网络安全专业人员提供专项培训，重点关注所需的技术/非技术知识、技能和见解

在对现有教育计划进行差距分析后，下一阶段是决定政府将提供什么类型的教育，并设计提供这种教育的机制和平台。根据初步的描绘工作结果，专业网络安全教育的实施可针对网络安全技术领域（包括计算机科学技能开发）、非技术要素（包括管理和政策）和沟通（包括向非技术受众传达技术问题的技能）进行调整。图3.2展示了该领域专业人员网络安全职业路径框架的可视化示例。

根据当地的情况，政府可以选择采取：

对目标受众提供专业网络教育

为其他利益相关方提供的网络安全教育提供直接支持

通过标准化与认证、教育资源及促进职业网络，为新增和现有的专业网络教育计划提供间接支持

一国政府可以通过建立和运行自己的网络培训计划，在（上述）这些方面进行扩展，从而提供内部（即向政府雇员）和外部网络安全培训。这可以通过建立一个独立的培训中心来实现，该中心为网络安全专业人员提供培训计划。

政府提供的课程在特定情况下可能较为合适，例如就涉及国家安全的敏感领域对政府内部职员进行培训。

向私营部门或非政府组织提供资金和支持是建立和增加现有网络安全培训项目数量的第二种选择。这可能包括在大学里为开发网络安全硕士课程和职业课程提供资金和支持，或与选定的私人或非营利组织合作，通过提供实质性专业知识、经验或量身定制的网络安全培训来帮助政府。

政府也可以通过多种不同的机制和平台，对网络安全专业教育提供间接支持。通常是通过制定一个从业者和教育提供者的认证框架，以及为网络安全雇主和雇员提供指导和工具的开源资源来实现。

建立认证框架是政府确保提供高网络安全专业培训水平的一种方式。认证是根据一套标准（在本示例中由政府制定）对外部组织进行评估的过程，这套标准描述了获得网络安全培训和教育课程质量认证的要求。开发认证架构，首先要制定一套标准，让机构获得认证。一旦有了标准，就要建立一套系统，确保组织能够证明遵守了这些标准的要求。

认证框架不仅确保网络安全培训的质量和一致性，而且有助于在网络安全领域树立信心。对老板和员工来说，它确保通过特定的培训课程来提高员工的技能，以达到企业要求的标准水平。这有助于管理者招聘经验丰富的网络安全专家，建立、确认他们的技能水平并进行相互沟通。网络安全标准和认证还有助于在国家和国际层面上建立跨企业、跨部门合作。

政府还可以提供免费获取的资源和材料，帮助企业和网络安全专业人员提高自身的网络安全能力。对于管理者而言，这可能包括：帮助构建公司网络安全队伍的信息和在线工具、公司员工认可的网络安全课程和资格信息、为开发和实施网络安全提供指导，以及允许公司提供内部网络安全课程的培训资源。对于网络安全职员和个人，政府信息门户网站可提供有助于了解网络安全职业道路和寻找适当的网络安全培训课程的信息，也可提供教育材料，让个人在业余时间提高技能。

根据已建立的有效性指标评估教育和培训的结果

任何教育计划的设计和执行都应对结果进行评价，评价结果用于通知和完善以后的培训和教育规划。应使用衡量活动、产出、结果和效果的适当标准来进行，评价要提出可行性的建议，为今后方案的发展和完善提供支持。

建立开发、实施和评审的动态过程

网络安全的瞬息万变意味着技术人员必须适应新兴技术、威胁和趋势。因此，重要的是，任何专业网络安全教育项目的开发和实施都不能一成不变。维持有效的评价周期是确保这一点的重要因素，但也可以执行其他倡议来帮助促进一个动态的过程。

其他参考资料

第三维度内容结束。