信息安全項目的另一個組成部分是安全教育、培訓(xùn)以及意識提升( SETA，security education、training and awareness)項目。作為CISO的責(zé)任，SETA項目是用來降低員工對安全系統(tǒng)造成意外破壞的一種控制措施。如上所述，員工的失誤是對信息資產(chǎn)的最大威脅之一，所以投入各種資源來解決這個問題是很值得的。設(shè)計SETA項目的目的是用來補充已經(jīng)到位的普通信息安全教育和訓(xùn)練項目。良好的實踐要求在系統(tǒng)開發(fā)生命周期的實施階段中包括用戶培訓(xùn)。員工培訓(xùn)必須確保所有員工都得到了恰當?shù)呐嘤?xùn)。

SETA項目由3個部分組成：安全教育、安全培訓(xùn)和安全意識。一個機構(gòu)也許沒有能力或者不愿意執(zhí)行所有的部分，所以他們可能將這個任務(wù)外包給本地教育機構(gòu)。SETA的目標是通過下面的方法來加強安全：

①增強保護系統(tǒng)資源的意識；②加強計算機使用者的技能和知識，使他們能更安全地完成工作；③建立必需的深入的知識體系，來設(shè)計、實施或者操作一個機構(gòu)和系統(tǒng)的安全項目。

隨著設(shè)計階段的繼續(xù)，我們把注意力轉(zhuǎn)向控制機制和防衛(wèi)機制的設(shè)計，以保護信息免受攻擊。控制和防衛(wèi)這兩個詞經(jīng)常被混用，控制分為3類：管理控制、操作控制以及技術(shù)控制。

管理控制是由戰(zhàn)略策劃者設(shè)計并由機構(gòu)的安全管理部門執(zhí)行的安全過程。 他們設(shè)定了安全過程的方向以及范圍，并提供詳細的行動指南。管理控制專注于安全計劃過程和安全項目管理的設(shè)計和實施。這類控制也同樣重視風(fēng)險管理和安全控制檢查（在第7章和第8章有詳細的討論.）。管理控制更深入的描述了遵守法律法規(guī)的重要性及其相關(guān)內(nèi)容和整個安全生命周期的維護。

操作控制用來處理機構(gòu)中安全的可操作功能。它包括管理功能和低層計劃， 比如說災(zāi)難恢復(fù)和事故響應(yīng)計劃。另外，這些控制專注于個人安全、物理安全以及對結(jié)果輸入輸出的保護。操作控制也涉及計劃的可操作性結(jié)構(gòu)，用來開發(fā)針對用戶、管理員的管理教育、培訓(xùn)和意識提升項目。最后，它還注重于硬件和軟件系統(tǒng)的維護和數(shù)據(jù)的完整性。

技術(shù)控制則關(guān)注那些如何設(shè)計和實施安全的戰(zhàn)術(shù)性、技術(shù)性問題，檢查和選擇保護信息所需的技術(shù)。操作控制著重于某些操作層面上的問題，比如發(fā)展各種控制手段并將它們?nèi)诤系綑C構(gòu)的各種業(yè)務(wù)之中，而技術(shù)控制卻把重點放在技術(shù)選擇以及獲?。ㄖ圃旎蛘哔徺I）特定技術(shù)組件的細節(jié)問題上，包括邏輯訪問控制（諸如識別、授權(quán)和審計）。同時，技術(shù)控制還負責(zé)用戶的賬戶和密碼使用審計的制定和實施，以保護信息在存儲和傳輸過程中的安全，它包括資產(chǎn)和用戶的分類，從而可以更容易地對資產(chǎn)和用戶進行分級授權(quán)。

對于用作安全系統(tǒng)開發(fā)生命周期分類的擴展類別，我們加入了另一個量來反應(yīng)數(shù)據(jù)存儲、傳輸以及那些處理數(shù)據(jù)的設(shè)備的敏感性和安全優(yōu)先級。這種數(shù)據(jù)分類的例子包括機密數(shù)據(jù)、內(nèi)部數(shù)據(jù)以及公共數(shù)據(jù)。相反的數(shù)據(jù)分類方法是人事安全許可結(jié)構(gòu)，它根據(jù)信息個體需要知道什么來確定其被授予的觀察權(quán)級別。

設(shè)計階段的另一個部分是創(chuàng)建基本的準備文檔。IT和信息安全團體中的管理者通常被要求提供戰(zhàn)略計劃來保障該機構(gòu)可以持續(xù)訪問信息系統(tǒng)。處理攻擊、 災(zāi)難或其他類型的事故有計劃很多名字：業(yè)務(wù)連續(xù)性計劃、災(zāi)難恢復(fù)計劃、事故響應(yīng)計劃或者僅僅是應(yīng)急計劃。在大型機構(gòu)中，上述計劃中每一個都可能是單獨的但又互相聯(lián)系的計劃功能，這些功能在范圍、可用性和設(shè)計上都不相同。在一個小的機構(gòu)中，安全管理員（或者系統(tǒng)管理員）可能會有一個簡單的計劃，由一個簡單的介質(zhì)備份、恢復(fù)策略和一些其他公司提供的服務(wù)構(gòu)成，不幸的是很多機構(gòu)都有許多無法完成的計劃。

事故響應(yīng)、災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性計劃都是應(yīng)急計劃的組成部分。應(yīng)急計劃(CP，contingency planning)是一個機構(gòu)遇到威脅信息資產(chǎn)的安全的事件時實施的所有計劃，用來對事故的發(fā)生做好準備、對事故做出反應(yīng)以及恢復(fù)事故發(fā)生前的狀態(tài)，并且為后來恢復(fù)到正常的業(yè)務(wù)操作做好準備。機構(gòu)需要制定災(zāi)難恢復(fù)計劃、事故響應(yīng)計劃以及業(yè)務(wù)連貫性計劃來做為整個應(yīng)急計劃的組成部分。事故響應(yīng)計劃(IRP，incident response planning)是一個與事故的識別、分類、響應(yīng)和恢復(fù)相聯(lián)系的計劃程序。災(zāi)難恢復(fù)計劃( DRP，Disaster recoveiy planning)是一個與對災(zāi)難的準備和從災(zāi)難中恢復(fù)相聯(lián)系的計劃程序，無論該災(zāi)難是自然造成的還是人為的。業(yè)務(wù)連續(xù)性計劃（BCP，business continuity planning）是當災(zāi)難性事故或災(zāi)禍發(fā)生時，確保關(guān)鍵業(yè)務(wù)功能持續(xù)工作的計劃程序，這些響應(yīng)計劃的關(guān)鍵組成部分將在第3章介紹。

隨著設(shè)計階段的進展，我們又把注意力轉(zhuǎn)向了物理安全。物理安全著重于對策的設(shè)計、實施和維護，用以保護一個機構(gòu)的物理資源。物理資源包括與管理信息的傳輸、存儲和處理有關(guān)的人員、硬件以及系統(tǒng)組成支持元素和資源。如果一 個攻擊者獲得對受控資源的物理訪問權(quán)，很多基于技術(shù)的控制都將遭到攻擊。例如，當員工保護服務(wù)控制臺失敗時，運行在該計算機上的操作系統(tǒng)在面對攻擊時會顯得非常脆弱。有一些計算機系統(tǒng)的構(gòu)造使得竊取硬盤驅(qū)動器上信息變得很容易。這樣得出的結(jié)論是，在安全開發(fā)生命周期中，物理安全應(yīng)該受到與邏輯安全同等的重視。有很多不錯的相關(guān)文章、普及圖書、參考書籍，都對物理安全有進一步的討論，若想對此深入了解，請參閱相關(guān)資料。