Cissp安全治理

上一篇文章《 复习信息安全治理（4）》里，J0ker给大家介绍了信息安全治理CBK中各种安全文档的定义和区别。我们都知道，各种安全规章制度制定之后，最终也需要组织的每一个成员都理解并自觉遵守才能发挥其应有的作用，要达到这个目的，就要用到本文将介绍的安全意识教育（Security Awareness）这一工具。

安全意识教育可以作为组织安全计划中的一部分来进行，CISSP在设计并开始安全意识教育计划之前，应该先确定安全意识教育项目的目的。目的可以简单定义为“所有的组织成员必须了解自己最基本的安全责任”或“组织成员必须了解组织所面临的信息安全威胁，并养成良好的使用习惯来防御这些风险并保护信息系统”，不过很多时候设定更具体的目标更有利于安全意识教育项目的进行，CISSP Official Guide提供了一个较为具体的sample：

Sample——意识教育的目标：

企业员工必须有理解以下条目的安全意识：

1、安全策略、标准、流程、底线和指导。

2、物理和信息资产所面临的安全威胁。

3、开放网络环境面临的安全威胁。

4、需要遵守的法律法规。

5、需要遵守的组织或部门制定的规章制度。

6、如何辨识和保护敏感（或保密）信息。

7、如何存储、标记和传输信息。

8、假如发生可疑或已确认的安全事件，应该向谁报告。

9、电子邮件和互联网安全使用策略和流程。

10、社会工程学。

安全底线和安全标准相类似，也是通过强制性的手段和规定来支持安全策略实施的文档，但安全底线和安全标准不同的地方在于，安全标准更偏重于宏观上要达到或者要实现什么目的，而安全底线则是根据同一类型信息资产中不同子类型的特点分别制定的强制规则，如组织客户端使用的操作系统包括Windows 2000、Windows XP和Windows 2003，要求所有的客户端系统都按照某个厂商某一个版本的反病毒软件，就是安全标准；而Windows 2000/XP/2003分别进行什么安全配置，则是安全底线。

Guideline：安全指导是非强制性的，带有建议性质的安全文档，它通过建议组织及其成员，进行建议的行为或活动，来获得更高的安全级别，或对信息安全有更深入了解。