26日团队培训内容提到了安全风险的知识，学习了安全风险的类型、预防的措施和简单的分析，同时还学习了数据备份的相关知识。数据备份和数据安全其实不是等同话题，课后我就风险控制的一个环节安全意识、培训和教育阶段进行了学习，作为安全风险内容的补充。内容如下：

安全培训（Security Training）—— 除了针对全体员工的一般性的安全意识程序，组织还应该为担负安全任务和责任的人员（例如信息系统管理员）制定专门的安全培训程序，培训的目的是传授技能，使受训者能够有效地完成任务并承担责任。安全培训的深度有赖于组织整体信息安全的重要程度，也和来自不同角色的需求有关。安全培训一般需要比安全意识更长的时间。

安全教育（Security Education）—— 如果有必要，组织还可以提供安全教育的机会，这比安全培训更深入，通常针对的是安全专业人员，比如借助大学课程的学习，使他们全面而充分地掌握信息安全相关的专业技能。如果说安全意识是有关“是什么（What）”的内容，那安全培训和安全教育就分别是关于“怎样做（How）”和“为什么（Why）”的内容了。针对不同层次的需要，组织应该合理制定意识、培训和教育计划，计划制定和实施可以遵循以下过程：

Ø         需求分析 —— 复查信息安全策略及程序，确定培训和教育的目标受众（根据岗位、知识水平和意识层次来分组），了解员工目前的意识和技能状况，研究最适合的方法。

Ø         培训教师 —— 指定合格的培训教师。

Ø         获取支持 —— 要进行有效的意识培训和教育，必须取得管理层和员工的支持。

Ø         开发程序 —— 根据需求分析的结果来开发不同的培训程序，解决培训方法、主题、资料、陈述、可见性等问题。

Ø         实施程序 —— 以培训程序计划的步骤来进行意识和技能培训。

Ø         维护程序 —— 如果有变化，应该对培训程序进行更新。

Ø         监督考察 —— 通过定期绩效考核或其他方式来考察员工安全意识和技能的掌握情况，也可以借助培训前后计算机安全事件报告内容的变化来进行考察。