安全意识，培训和教育（security awareness, training and education）

所有雇员（All employees）
总体上，“所有员工”是接受或参加意识介绍或活动的理想目标，但不是接受培训的好目标，培训适用於与IT系统相关的职能角色和职责，以发展相关和所需的技能和能力。

终端用户（End-users）
最终用户是资讯系统的用户。他们使用或操作资讯系统来完成工作。他们可能需要在初级，中级或高级水平上接受相关和所需技能和能力的培训。

IT工程师(IT Engineers)
IT工程师承担特定的“相对於IT系统的功能角色和职责”。他们还需要不同级别的培训。

安全管理员(Security Administrators)
安全管理员需要教育，其中还包括培训和意识。

NIST SP 800-50
学习是一个连续的过程；它从意识开始，发展为培训，然後发展为教育。
. 意识不是训练。意识介绍的目的仅仅是将注意力集中在安全性上。意识介绍旨在使个人认识到IT安全问题并做出相应的响应。
. 在意识活动中，学习者是信息的接收者，而培训环境中的学习者则扮演着更为积极的角色。意识依靠吸引人的包装技术吸引广泛的受众。培训更为正式，其目标是建立知识和技能以促进工作绩效。
. NIST特别出版物800-16称为“安全基础知识和素养”，是意识和培训之间的桥梁或过渡阶段。
. 培训旨在培养相关和必要的安全技能和能力。
. 教育将各种功能专业的所有安全技能和能力整合到一个共同的知识体系中。。。并努力培养具有远见和主动响应能力的IT安全专家和专业人员。
资料来源：NIST SP 800-50

ISSMP CBK，第二版

-ISSMP CBK，第二版
参考
. NIST SP 800-16
. NIST SP 800-50
. NIST SP 800-100
. ISSMP CBK

资料来源： Wentz Wu QOTD-20200628