本章小結

*術語“信息安全項目”被用來描述機構的安全結構和機構形式，這種結構包括了機構信息資產的風險。

*在較大的機構里，有專門的團隊來執行具體的信息安全職能，在較小的機構里，這些職能可能由部門的所有員工來實施。

*信息安全職能應該分為4個領域。

由信息技術領域以外的技術領域來執行安全職能。

由信息安全領域以外的rr園隊執行安全職能。

信息安全部門的職能，對機構和它的外部合作伙伴來說是一種客戶服務。

信息安全部門的職能增強員工的責任心。

*培養專職的安全員工應對一系列不斷變化的因素。

*1個大型機構平均有1個全職經理，4個全職的技術員／管理員和15%的兼職員工。

*1個超大的機構可能有超過20個全職的安全員工和40以上的兼職員工。

*1個中等大小的機構可能只有1個全職的安全員工和3個兼職員工。

*1個小型機構可能有1個對信息安全負有全職責任的員工，或者有1個兼職經理。

*信息安全的位置可以被歸類到3個領域中的一個：定義安全領域、建立安全領域、管理安全領域。

*實現SETA計劃是CISO的責任，它被設計用來減少安全漏洞的發生率。

*SETA計劃提高了員工的行為標準，而且使機構能夠確保員工對他們的行為負責。

*當專門為某些用戶設計培訓項目的時候，它是最有效的。培訓不僅要告訴用戶什么應該做、什么不應該做，而且要告訴他們應該怎么做。

*有兩種方法為用戶定制培訓項目：參考用戶的職業背景和參考用戶的技能水平，培訓的教學方法包括一對一、正式的班級、基于計算機的培訓、遠程教學／ Web研討會、用戶互助小組、職業培訓和自學（非計算機化的）。

*一個安全意識提升計劃可以通過錄像帶、時事通訊、海報、公告牌、傳單、示范、簡報、網上的短小通知、交談或者演講來傳遞它的消息。