实施安全教育、培训和意识提升计划

实施安全教育、培训和意识提升计划

一旦信息安全项目的地位在机构中得到确立，安全教育、培训和意识提升计划也就开始了。SETA计划由CISO负责，用以降低意外安全事故发生的几率，这些事故可台邑是机构相关人员造成的，比如员工、承包人、顾问、卖主以及业务伙伴， 他们与机构的信息资产会有所接触。正如第2章中提到的，信息资产所面临的最大威胁来自人类自身的错误。

意识提升、培训和教育计划有两大好处：

*改善员工的行为

*使员工对他们的工作更具责任感

若要员工的个人行为不至于影响到机构的长期生存发展，就有必要树立他们的责任感。当员工意识到机构是通过强化责任感来保护自身，他们就不会认为SETA是处罚性的计划了。事实上，如果一个机构不注意强化责任感，往往会造成重大的损失，这种损失足以使一个机构的运营发生停滞，从而造成全部员工失业。

SETA通过强调信息安全，从而增进一般性教育和培训计划的实施。比如，如果发现员工们正以一种不安全的方式使用电子邮件进行交流，就会对这些员工进行培训或再次培训。作为一种优秀的实践经验，所有系统开发生命周期将对用户的培训安jj}在实施和维护阶段。信息安全项目彼此间并没有本质不同，都需要初步的训练计划，因为系统部署已经展开并且有时需要对员工再培训。

SETA计划由3个要素组成：安全教育、培训以及意识提升。一些机构也许没有能力或不愿在内部开展以上计划，转而让本地教育机构为其服务。SETA的目的是通过以下3种途径来加强安全：

*根据需要纵向拓展知识，以设计和执行本机构的安全项目

让计算机用户学习技能和知识，以便能更安全地使用IT系统完成自身的工作提升系统资源的保护意识

表5—3说明机构的安全教育、培训以及意识提升计划的各个特征。