信息安全项目小结

本章小结

*术语“信息安全项目”被用来描述机构的安全结构和机构形式，这种结构包括了机构信息资产的风险。

*在较大的机构里，有专门的团队来执行具体的信息安全职能，在较小的机构里，这些职能可能由部门的所有员工来实施。

*信息安全职能应该分为4个领域。

由信息技术领域以外的技术领域来执行安全职能。

由信息安全领域以外的rr园队执行安全职能。

信息安全部门的职能，对机构和它的外部合作伙伴来说是一种客户服务。

信息安全部门的职能增强员工的责任心。

*培养专职的安全员工应对一系列不断变化的因素。

*1个大型机构平均有1个全职经理，4个全职的技术员／管理员和15%的兼职员工。

*1个超大的机构可能有超过20个全职的安全员工和40以上的兼职员工。

*1个中等大小的机构可能只有1个全职的安全员工和3个兼职员工。

*1个小型机构可能有1个对信息安全负有全职责任的员工，或者有1个兼职经理。

*信息安全的位置可以被归类到3个领域中的一个：定义安全领域、建立安全领域、管理安全领域。

*实现SETA计划是CISO的责任，它被设计用来减少安全漏洞的发生率。

*SETA计划提高了员工的行为标准，而且使机构能够确保员工对他们的行为负责。

*当专门为某些用户设计培训项目的时候，它是最有效的。培训不仅要告诉用户什么应该做、什么不应该做，而且要告诉他们应该怎么做。

*有两种方法为用户定制培训项目：参考用户的职业背景和参考用户的技能水平，培训的教学方法包括一对一、正式的班级、基于计算机的培训、远程教学／ Web研讨会、用户互助小组、职业培训和自学（非计算机化的）。

*一个安全意识提升计划可以通过录像带、时事通讯、海报、公告牌、传单、示范、简报、网上的短小通知、交谈或者演讲来传递它的消息。