實施安全教育、培訓(xùn)和意識提升計劃

一旦信息安全項目的地位在機構(gòu)中得到確立，安全教育、培訓(xùn)和意識提升計劃也就開始了。SETA計劃由CISO負(fù)責(zé)，用以降低意外安全事故發(fā)生的幾率，這些事故可臺邑是機構(gòu)相關(guān)人員造成的，比如員工、承包人、顧問、賣主以及業(yè)務(wù)伙伴， 他們與機構(gòu)的信息資產(chǎn)會有所接觸。正如第2章中提到的，信息資產(chǎn)所面臨的最大威脅來自人類自身的錯誤。

意識提升、培訓(xùn)和教育計劃有兩大好處：

*改善員工的行為

*使員工對他們的工作更具責(zé)任感

若要員工的個人行為不至于影響到機構(gòu)的長期生存發(fā)展，就有必要樹立他們的責(zé)任感。當(dāng)員工意識到機構(gòu)是通過強化責(zé)任感來保護自身，他們就不會認(rèn)為SETA是處罰性的計劃了。事實上，如果一個機構(gòu)不注意強化責(zé)任感，往往會造成重大的損失，這種損失足以使一個機構(gòu)的運營發(fā)生停滯，從而造成全部員工失業(yè)。

SETA通過強調(diào)信息安全，從而增進(jìn)一般性教育和培訓(xùn)計劃的實施。比如，如果發(fā)現(xiàn)員工們正以一種不安全的方式使用電子郵件進(jìn)行交流，就會對這些員工進(jìn)行培訓(xùn)或再次培訓(xùn)。作為一種優(yōu)秀的實踐經(jīng)驗，所有系統(tǒng)開發(fā)生命周期將對用戶的培訓(xùn)安jj}在實施和維護階段。信息安全項目彼此間并沒有本質(zhì)不同，都需要初步的訓(xùn)練計劃，因為系統(tǒng)部署已經(jīng)展開并且有時需要對員工再培訓(xùn)。

SETA計劃由3個要素組成：安全教育、培訓(xùn)以及意識提升。一些機構(gòu)也許沒有能力或不愿在內(nèi)部開展以上計劃，轉(zhuǎn)而讓本地教育機構(gòu)為其服務(wù)。SETA的目的是通過以下3種途徑來加強安全：

*根據(jù)需要縱向拓展知識，以設(shè)計和執(zhí)行本機構(gòu)的安全項目

讓計算機用戶學(xué)習(xí)技能和知識，以便能更安全地使用IT系統(tǒng)完成自身的工作提升系統(tǒng)資源的保護意識

表5—3說明機構(gòu)的安全教育、培訓(xùn)以及意識提升計劃的各個特征。