員工的行為和意識

安全意識培訓可以糾正員工所有危害機構信息安全的行為。通過教導員工怎樣正確地處理信息、應用信息，能夠降低偶然損害或者信息破壞的風險性；通過讓員工了解信息安全的威脅、這些威脅能夠導致的潛在損壞以及這些威脅發生的方式，降低因員工認為這些威脅不嚴重而帶來的潛在風險；通過使員工了解策略、 沒有遵循策略將受到的懲罰和策略破壞被發現的機制，降低一個員·工試圖有意錯用和濫用信息的可能性。如上所述，懲罰性策略主要是想達到以下效果：①員工害怕懲罰，②員工認為他們可能被抓住，③員工認為如果被抓住，他們將被懲罰。

如果管理者不樹立一個好榜樣，安全意識培訓活動可能被破壞。管理者特別是上層管理者沒有遵循組織的策略將很快被所有員工的行為和活動反映出來。 舉個例子，假設Random Widget Works的一個策略就是所有員工任何時間在顯眼的位置佩帶統一的徽章。如果一段時候后員工發現高級主管沒有佩戴徽章，那么逐漸就沒有人佩戴徽章，而懲罰沒有佩戴徽章員工的事也會不了了之。上層管理者對策略的破壞總是被認為缺乏對策略的支持，因此，如果管理者期望整個組織都遵循策略，他們就必須做好榜樣。