CISSP的成长之路（十一）：安全意识教育介绍

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习信息安全管理（4）》里，J0ker给大家介绍了信息安全管理CBK中各种安全文档的定义和区别。我们都知道，各种安全规章制度制定之后，最终也需要组织的每一个成员都理解并自觉遵守才能发挥其应有的作用，要达到这个目的，就要用到本文将介绍的安全意识教育（Security Awareness）这一工具。

　　安全意识教育可以作为组织安全计划中的一部分来进行，CISSP在设计并开始安全意识教育计划之前，应该先确定安全意识教育项目的目的。目的可以简单定义为“所有的组织成员必须了解自己最基本的安全责任”或“组织成员必须了解组织所面临的信息安全威胁，并养成良好的使用习惯来防御这些风险并保护信息系统”，不过很多时候设定更详细的目标更有利于安全意识教育项目的进行，CISSP Official Guide提供了一个较为详细的sample：

　　Sample——意识教育的目标：

　　企业员工必须有理解以下条目的安全意识：

　　1、安全策略、标准、流程、底线和指导

　　2、物理和信息资产所面临的安全威胁

　　3、开放网络环境面临的安全威胁

　　4、需要遵守的法律法规

　　5、需要遵守的组织或部门制定的规章制度

　　6、如何辨识和保护敏感（或保密）信息

　　7、如何存储、标记和传输信息

　　8、如果发生可疑或已确认的安全事件，应该向谁报告

　　9、电子邮件和互联网安全使用策略和流程

　　10、社会工程学

　　安全意识教育的目标应该和组织所制定的信息安全目标相配合，并密切结合组织信息安全计划，否则就达不到它预定的效果。CISSP考试中对安全意识教育这个章节的考察不多，不过朋友们还是需要留意一下上面所列出Sample的8和10的内容。8中的向谁报告主要是涉及安全责任和应急响应的概念，而10中的社会工程学则是一个很重要的概念，Official Guide中还专门辟出一个章节进行讲解，所以接下去J0ker打算提一下社会工程学及其相关的知识。