實(shí)施安全教育、培訓(xùn)和意識(shí)提升計(jì)劃

一旦信息安全項(xiàng)目的地位在機(jī)構(gòu)中得到確立，安全教育、培訓(xùn)和意識(shí)提升計(jì)劃也就開(kāi)始了。SETA計(jì)劃由CISO負(fù)責(zé)，用以降低意外安全事故發(fā)生的幾率，這些事故可臺(tái)邑是機(jī)構(gòu)相關(guān)人員造成的，比如員工、承包人、顧問(wèn)、賣(mài)主以及業(yè)務(wù)伙伴， 他們與機(jī)構(gòu)的信息資產(chǎn)會(huì)有所接觸。正如第2章中提到的，信息資產(chǎn)所面臨的最大威脅來(lái)自人類(lèi)自身的錯(cuò)誤。

意識(shí)提升、培訓(xùn)和教育計(jì)劃有兩大好處：

*改善員工的行為

*使員工對(duì)他們的工作更具責(zé)任感

若要員工的個(gè)人行為不至于影響到機(jī)構(gòu)的長(zhǎng)期生存發(fā)展，就有必要樹(shù)立他們的責(zé)任感。當(dāng)員工意識(shí)到機(jī)構(gòu)是通過(guò)強(qiáng)化責(zé)任感來(lái)保護(hù)自身，他們就不會(huì)認(rèn)為SETA是處罰性的計(jì)劃了。事實(shí)上，如果一個(gè)機(jī)構(gòu)不注意強(qiáng)化責(zé)任感，往往會(huì)造成重大的損失，這種損失足以使一個(gè)機(jī)構(gòu)的運(yùn)營(yíng)發(fā)生停滯，從而造成全部員工失業(yè)。

SETA通過(guò)強(qiáng)調(diào)信息安全，從而增進(jìn)一般性教育和培訓(xùn)計(jì)劃的實(shí)施。比如，如果發(fā)現(xiàn)員工們正以一種不安全的方式使用電子郵件進(jìn)行交流，就會(huì)對(duì)這些員工進(jìn)行培訓(xùn)或再次培訓(xùn)。作為一種優(yōu)秀的實(shí)踐經(jīng)驗(yàn)，所有系統(tǒng)開(kāi)發(fā)生命周期將對(duì)用戶的培訓(xùn)安jj}在實(shí)施和維護(hù)階段。信息安全項(xiàng)目彼此間并沒(méi)有本質(zhì)不同，都需要初步的訓(xùn)練計(jì)劃，因?yàn)橄到y(tǒng)部署已經(jīng)展開(kāi)并且有時(shí)需要對(duì)員工再培訓(xùn)。

SETA計(jì)劃由3個(gè)要素組成：安全教育、培訓(xùn)以及意識(shí)提升。一些機(jī)構(gòu)也許沒(méi)有能力或不愿在內(nèi)部開(kāi)展以上計(jì)劃，轉(zhuǎn)而讓本地教育機(jī)構(gòu)為其服務(wù)。SETA的目的是通過(guò)以下3種途徑來(lái)加強(qiáng)安全：

*根據(jù)需要縱向拓展知識(shí)，以設(shè)計(jì)和執(zhí)行本機(jī)構(gòu)的安全項(xiàng)目

讓計(jì)算機(jī)用戶學(xué)習(xí)技能和知識(shí)，以便能更安全地使用IT系統(tǒng)完成自身的工作提升系統(tǒng)資源的保護(hù)意識(shí)

表5—3說(shuō)明機(jī)構(gòu)的安全教育、培訓(xùn)以及意識(shí)提升計(jì)劃的各個(gè)特征。