信息安全項目的另一個組成部分是安全教育、培訓以及意識提升( SETA，security education、training and awareness)項目。作為CISO的責任，SETA項目是用來降低員工對安全系統造成意外破壞的一種控制措施。如上所述，員工的失誤是對信息資產的最大威脅之一，所以投入各種資源來解決這個問題是很值得的。設計SETA項目的目的是用來補充已經到位的普通信息安全教育和訓練項目。良好的實踐要求在系統開發生命周期的實施階段中包括用戶培訓。員工培訓必須確保所有員工都得到了恰當的培訓。

SETA項目由3個部分組成：安全教育、安全培訓和安全意識。一個機構也許沒有能力或者不愿意執行所有的部分，所以他們可能將這個任務外包給本地教育機構。SETA的目標是通過下面的方法來加強安全：

①增強保護系統資源的意識；②加強計算機使用者的技能和知識，使他們能更安全地完成工作；③建立必需的深入的知識體系，來設計、實施或者操作一個機構和系統的安全項目。

隨著設計階段的繼續，我們把注意力轉向控制機制和防衛機制的設計，以保護信息免受攻擊。控制和防衛這兩個詞經常被混用，控制分為3類：管理控制、操作控制以及技術控制。

管理控制是由戰略策劃者設計并由機構的安全管理部門執行的安全過程。 他們設定了安全過程的方向以及范圍，并提供詳細的行動指南。管理控制專注于安全計劃過程和安全項目管理的設計和實施。這類控制也同樣重視風險管理和安全控制檢查（在第7章和第8章有詳細的討論.）。管理控制更深入的描述了遵守法律法規的重要性及其相關內容和整個安全生命周期的維護。

操作控制用來處理機構中安全的可操作功能。它包括管理功能和低層計劃， 比如說災難恢復和事故響應計劃。另外，這些控制專注于個人安全、物理安全以及對結果輸入輸出的保護。操作控制也涉及計劃的可操作性結構，用來開發針對用戶、管理員的管理教育、培訓和意識提升項目。最后，它還注重于硬件和軟件系統的維護和數據的完整性。

技術控制則關注那些如何設計和實施安全的戰術性、技術性問題，檢查和選擇保護信息所需的技術。操作控制著重于某些操作層面上的問題，比如發展各種控制手段并將它們融合到機構的各種業務之中，而技術控制卻把重點放在技術選擇以及獲取（制造或者購買）特定技術組件的細節問題上，包括邏輯訪問控制（諸如識別、授權和審計）。同時，技術控制還負責用戶的賬戶和密碼使用審計的制定和實施，以保護信息在存儲和傳輸過程中的安全，它包括資產和用戶的分類，從而可以更容易地對資產和用戶進行分級授權。

對于用作安全系統開發生命周期分類的擴展類別，我們加入了另一個量來反應數據存儲、傳輸以及那些處理數據的設備的敏感性和安全優先級。這種數據分類的例子包括機密數據、內部數據以及公共數據。相反的數據分類方法是人事安全許可結構，它根據信息個體需要知道什么來確定其被授予的觀察權級別。

設計階段的另一個部分是創建基本的準備文檔。IT和信息安全團體中的管理者通常被要求提供戰略計劃來保障該機構可以持續訪問信息系統。處理攻擊、 災難或其他類型的事故有計劃很多名字：業務連續性計劃、災難恢復計劃、事故響應計劃或者僅僅是應急計劃。在大型機構中，上述計劃中每一個都可能是單獨的但又互相聯系的計劃功能，這些功能在范圍、可用性和設計上都不相同。在一個小的機構中，安全管理員（或者系統管理員）可能會有一個簡單的計劃，由一個簡單的介質備份、恢復策略和一些其他公司提供的服務構成，不幸的是很多機構都有許多無法完成的計劃。

事故響應、災難恢復以及業務連續性計劃都是應急計劃的組成部分。應急計劃(CP，contingency planning)是一個機構遇到威脅信息資產的安全的事件時實施的所有計劃，用來對事故的發生做好準備、對事故做出反應以及恢復事故發生前的狀態，并且為后來恢復到正常的業務操作做好準備。機構需要制定災難恢復計劃、事故響應計劃以及業務連貫性計劃來做為整個應急計劃的組成部分。事故響應計劃(IRP，incident response planning)是一個與事故的識別、分類、響應和恢復相聯系的計劃程序。災難恢復計劃( DRP，Disaster recoveiy planning)是一個與對災難的準備和從災難中恢復相聯系的計劃程序，無論該災難是自然造成的還是人為的。業務連續性計劃（BCP，business continuity planning）是當災難性事故或災禍發生時，確保關鍵業務功能持續工作的計劃程序，這些響應計劃的關鍵組成部分將在第3章介紹。

隨著設計階段的進展，我們又把注意力轉向了物理安全。物理安全著重于對策的設計、實施和維護，用以保護一個機構的物理資源。物理資源包括與管理信息的傳輸、存儲和處理有關的人員、硬件以及系統組成支持元素和資源。如果一 個攻擊者獲得對受控資源的物理訪問權，很多基于技術的控制都將遭到攻擊。例如，當員工保護服務控制臺失敗時，運行在該計算機上的操作系統在面對攻擊時會顯得非常脆弱。有一些計算機系統的構造使得竊取硬盤驅動器上信息變得很容易。這樣得出的結論是，在安全開發生命周期中，物理安全應該受到與邏輯安全同等的重視。有很多不錯的相關文章、普及圖書、參考書籍，都對物理安全有進一步的討論，若想對此深入了解，請參閱相關資料。