實施安全教育、培訓和意識提升計劃

一旦信息安全項目的地位在機構中得到確立，安全教育、培訓和意識提升計劃也就開始了。SETA計劃由CISO負責，用以降低意外安全事故發生的幾率，這些事故可臺邑是機構相關人員造成的，比如員工、承包人、顧問、賣主以及業務伙伴， 他們與機構的信息資產會有所接觸。正如第2章中提到的，信息資產所面臨的最大威脅來自人類自身的錯誤。

意識提升、培訓和教育計劃有兩大好處：

*改善員工的行為

*使員工對他們的工作更具責任感

若要員工的個人行為不至于影響到機構的長期生存發展，就有必要樹立他們的責任感。當員工意識到機構是通過強化責任感來保護自身，他們就不會認為SETA是處罰性的計劃了。事實上，如果一個機構不注意強化責任感，往往會造成重大的損失，這種損失足以使一個機構的運營發生停滯，從而造成全部員工失業。

SETA通過強調信息安全，從而增進一般性教育和培訓計劃的實施。比如，如果發現員工們正以一種不安全的方式使用電子郵件進行交流，就會對這些員工進行培訓或再次培訓。作為一種優秀的實踐經驗，所有系統開發生命周期將對用戶的培訓安jj}在實施和維護階段。信息安全項目彼此間并沒有本質不同，都需要初步的訓練計劃，因為系統部署已經展開并且有時需要對員工再培訓。

SETA計劃由3個要素組成：安全教育、培訓以及意識提升。一些機構也許沒有能力或不愿在內部開展以上計劃，轉而讓本地教育機構為其服務。SETA的目的是通過以下3種途徑來加強安全：

*根據需要縱向拓展知識，以設計和執行本機構的安全項目

讓計算機用戶學習技能和知識，以便能更安全地使用IT系統完成自身的工作提升系統資源的保護意識

表5—3說明機構的安全教育、培訓以及意識提升計劃的各個特征。