定制培训以满足用户需求的想法实际上是一个非常好的方法。但是，必须对这种方法进行某些补充，然后才能适合您组织中的每个人。

话虽如此，当您说应用程序开发人员所需的培训与人力资源人员不同时，这是非常正确的。

但是，当您查看 ISO 27001 的结构时，您会发现它有许多方面适用于所有部门，例如访问控制、资产管理和处置、知识产权管理、业务连续性程序、雇佣程序、事件处理、可接受的使用指南、清晰的桌面和清晰的屏幕等等。你会看到我上面列出的每一项都适用于每个人。

您的培训方法应考虑所有这些因素，同时还要针对特定​​的培训角色。我一直在采取针对特定部门的方法。有些模块是专门为某些部门保留的，而大多数模块适用于所有部门。你的训练计划应该列出所有这些。

最后，您向员工传授的主题实际上应该在您组织的信息安全管理系统 (ISMS) 的范围内。因此，如果您有明确定义的 ISMS，请查看为您的组织定义的所有政策和程序。这将为您定义所有主题提供一个良好的起点。

此处的安全意识专家（获奖，畅销书）。

当然，您应该/需要针对角色/风险定制培训。

许多国际机构实际上都认为这一点很重要：

• NIST CSF (PR.AT)
• NIST SP 800-16
• SANS
• 联邦调查局/国土安全部
• 国家网络中心首席运营官 Jonathan Steenland

这些正是我能从脑海中回忆起来的。

但你最后的问题似乎表明对如何创建材料存在误解。

设定基线标准

您的组织需要设定符合您组织风险状况的最低意识标准。这意味着每个人都有相同的基础。最重要的是角色特定的材料。

相同的材料，特定于角色的示例

但它可以比这更有效。我提倡使用相同的基础材料创建特定于角色的材料，但让示例是特定于角色的。不要向运输部门展示人力资源示例。在可行的情况下，保留特定于角色的示例，但涵盖相同的材料，以便基础相同。这有助于说明为什么该材料对员工很重要。

培训以应对风险

此外，组织中的不同角色将经历不同的风险，这些独特的风险应在培训中加以解决。财务和人力资源面临不同的风险，需要不同的工具/程序来应对这些风险。航运部门将面临一系列完全不同的风险。培训绝对应该针对风险进行定制。

是的，对于任何不是专门的安全意识课程设计者来说，这看起来都令人生畏。这是很多工作。这就是为什么大多数组织不这样做的原因。但他们应该。

简单模式：冠军

一种更容易的方法是采用“冠军”计划，在该计划中，每个部门/风险领域的选定人员接受培训和支持，以帮助设计、交付部门/风险特定材料并成为联络点。这已被证明在许多组织中非常有效。然后，您应该采用已证明有效的定制材料并将其纳入您的学习计划，以使其更加一致和可重复。

下一步：不仅针对特定角色，而且针对特定受众

此外，我还主张为您组织中的不同技术和人口群体提供不同的材料。对于以前从未听说过这个概念的人来说，“如何发现网络钓鱼”培训需要与 IT 专家不同。您组织中的不同人口群体需要理解所使用的语言和概念。例如，询问不同的人是否知道“浏览器”是什么。看到谁没有听说过这个词，您可能会感到震惊。这意味着您的“如何发现网络钓鱼”材料需要要么不使用该术语，要么对其进行培训。

毕业材料

在我的材料中，我将它们毕业，以便提高技能和知识水平。人们在表现出精通较低级别时会解锁较高级别。这意味着IT专家只需处理一次基础材料，就面临着高水平的全新技术的挑战。新人可以与材料一起成长。

这更像是一个沟通问题而不是安全问题，但我必须承认，结果对全球安全实践产生了重大影响。这里重要的是，所有员工都可以认为他们的活动被认为是重要的，他们的不良做法会产生严重影响。

如果您以这种方式呈现它：

• IT 管理员将遵循专门用于其工作的模块
• IT 开发人员将遵循专门用于其工作的模块
• 非 IT 研究员将遵循通才模块

非 IT 人员认为安全不是他们关心的问题的风险很高。

由于我以前的工作之一不是以 IT 为重点，我认为非 IT 人员可能会更关心以下演示文稿：

• 一个适用于每个人的通用模块，以便所有员工共享基础，无论他们的具体活动如何
• 每组一个附加模块

附加模块的内容对于 IT 组、管理员和开发人员来说是微不足道的。

对于非 IT 成员，您必须找到与其实际活动相关的示例。社交攻击是财务团队的主要关注点，保密性是客户服务代表团队的主要关注点等。这样，您可以向每个团队展示您已经考虑过他们的活动，并且在他们的活动中缺乏良好的安全实践将会导致严重的后果。

实际内容与第一种方法没有太大不同，但可以看到不同。