本章小結(jié)

*術(shù)語“信息安全項目”被用來描述機(jī)構(gòu)的安全結(jié)構(gòu)和機(jī)構(gòu)形式，這種結(jié)構(gòu)包括了機(jī)構(gòu)信息資產(chǎn)的風(fēng)險。

*在較大的機(jī)構(gòu)里，有專門的團(tuán)隊來執(zhí)行具體的信息安全職能，在較小的機(jī)構(gòu)里，這些職能可能由部門的所有員工來實(shí)施。

*信息安全職能應(yīng)該分為4個領(lǐng)域。

由信息技術(shù)領(lǐng)域以外的技術(shù)領(lǐng)域來執(zhí)行安全職能。

由信息安全領(lǐng)域以外的rr園隊執(zhí)行安全職能。

信息安全部門的職能，對機(jī)構(gòu)和它的外部合作伙伴來說是一種客戶服務(wù)。

信息安全部門的職能增強(qiáng)員工的責(zé)任心。

*培養(yǎng)專職的安全員工應(yīng)對一系列不斷變化的因素。

*1個大型機(jī)構(gòu)平均有1個全職經(jīng)理，4個全職的技術(shù)員／管理員和15%的兼職員工。

*1個超大的機(jī)構(gòu)可能有超過20個全職的安全員工和40以上的兼職員工。

*1個中等大小的機(jī)構(gòu)可能只有1個全職的安全員工和3個兼職員工。

*1個小型機(jī)構(gòu)可能有1個對信息安全負(fù)有全職責(zé)任的員工，或者有1個兼職經(jīng)理。

*信息安全的位置可以被歸類到3個領(lǐng)域中的一個：定義安全領(lǐng)域、建立安全領(lǐng)域、管理安全領(lǐng)域。

*實(shí)現(xiàn)SETA計劃是CISO的責(zé)任，它被設(shè)計用來減少安全漏洞的發(fā)生率。

*SETA計劃提高了員工的行為標(biāo)準(zhǔn)，而且使機(jī)構(gòu)能夠確保員工對他們的行為負(fù)責(zé)。

*當(dāng)專門為某些用戶設(shè)計培訓(xùn)項目的時候，它是最有效的。培訓(xùn)不僅要告訴用戶什么應(yīng)該做、什么不應(yīng)該做，而且要告訴他們應(yīng)該怎么做。

*有兩種方法為用戶定制培訓(xùn)項目：參考用戶的職業(yè)背景和參考用戶的技能水平，培訓(xùn)的教學(xué)方法包括一對一、正式的班級、基于計算機(jī)的培訓(xùn)、遠(yuǎn)程教學(xué)／ Web研討會、用戶互助小組、職業(yè)培訓(xùn)和自學(xué)（非計算機(jī)化的）。

*一個安全意識提升計劃可以通過錄像帶、時事通訊、海報、公告牌、傳單、示范、簡報、網(wǎng)上的短小通知、交談或者演講來傳遞它的消息。