本章小結(jié)

*術(shù)語“信息安全項目”被用來描述機構(gòu)的安全結(jié)構(gòu)和機構(gòu)形式，這種結(jié)構(gòu)包括了機構(gòu)信息資產(chǎn)的風險。

*在較大的機構(gòu)里，有專門的團隊來執(zhí)行具體的信息安全職能，在較小的機構(gòu)里，這些職能可能由部門的所有員工來實施。

*信息安全職能應該分為4個領域。

由信息技術(shù)領域以外的技術(shù)領域來執(zhí)行安全職能。

由信息安全領域以外的rr園隊執(zhí)行安全職能。

信息安全部門的職能，對機構(gòu)和它的外部合作伙伴來說是一種客戶服務。

信息安全部門的職能增強員工的責任心。

*培養(yǎng)專職的安全員工應對一系列不斷變化的因素。

*1個大型機構(gòu)平均有1個全職經(jīng)理，4個全職的技術(shù)員／管理員和15%的兼職員工。

*1個超大的機構(gòu)可能有超過20個全職的安全員工和40以上的兼職員工。

*1個中等大小的機構(gòu)可能只有1個全職的安全員工和3個兼職員工。

*1個小型機構(gòu)可能有1個對信息安全負有全職責任的員工，或者有1個兼職經(jīng)理。

*信息安全的位置可以被歸類到3個領域中的一個：定義安全領域、建立安全領域、管理安全領域。

*實現(xiàn)SETA計劃是CISO的責任，它被設計用來減少安全漏洞的發(fā)生率。

*SETA計劃提高了員工的行為標準，而且使機構(gòu)能夠確保員工對他們的行為負責。

*當專門為某些用戶設計培訓項目的時候，它是最有效的。培訓不僅要告訴用戶什么應該做、什么不應該做，而且要告訴他們應該怎么做。

*有兩種方法為用戶定制培訓項目：參考用戶的職業(yè)背景和參考用戶的技能水平，培訓的教學方法包括一對一、正式的班級、基于計算機的培訓、遠程教學／ Web研討會、用戶互助小組、職業(yè)培訓和自學（非計算機化的）。

*一個安全意識提升計劃可以通過錄像帶、時事通訊、海報、公告牌、傳單、示范、簡報、網(wǎng)上的短小通知、交談或者演講來傳遞它的消息。