Это если путать информационную безопасность с защитой информации в АС? Все равно спорно.

Нет какого-то единственно верного способа, по-разному можно делать.

Но видится интересный момент: в Вашем варианте осведомление смешивается с обучением, а смотреть надо ширше.
Скажем, Вам может потребоваться "до-довести" до людей не талмуд, а какую-то крохотную дельту, поправочку.
Малюсенький такой патчик накатить на знания тех, кто уже работает.
С будущими работниками все просто - этот новый аспект в талмуд молодого бойца включается.
Но у Вас еще и 3000 уже обученных сидит.
Если степень информатизации высокая, "патчики" будут требоваться часто.
Неужто по-старинке через ознакомление с приказом якобы директора? По каждой ерунде?

Раз контора небольшая, то любой из вышеперечисленных.
Но обычно это коллективная роль всех юнитов, занятых в программе осведомления, и вопрос разделения решается по функциональному признаку (документационное обеспечение учит бюрократической культуре, кадры работе с подчиненными, ИТ работе с системами и т.п.), а в одиночку никто не потянет.

Ха!
Во-первых, не "по-любому": 20% вина самих исполнителей.
Во-вторых, такая формулировка вообще ведет к полному разложению системы (за что и ненавижу этот афоризм), ибо начальник виноват, но он не виноват, т.к. у него тоже есть начальник, а тот виноват, но не виноват, т.к. у него тоже есть начальник, а тот ...
В результате все звенья системы кивают на самое первое лицо и оправдывают этим полную административную дисфункцию организации, как составного организма.

По мелочам придираться?
Самая большая группа это банальная ошибка от недостаточной осведомленности (человек просто не знает, как правильно делать, его не просветили), но у Вас в "неумышленниках" числятся только глупость и лень.
Тем самым Вы явно относите связанные с ними инциденты на счет их личностных недостатков, а не своих профессиональных.

Разумеется, никто не мешает сговориться и начать называть этим словом даже активных педерастов и тех, у кого камень интеловский, но зачем плодить путаницу?
Легальный обладатель внутренней информации - достаточно своеобразный субъект с точки зрения безопасности, чтобы обозначаться отдельным от НСДшника понятием.

Определение сами изобрели? А слово-то уже другим занято. По крайней мере, в русском языке.

В версии 2000 года.

Недопониманию темы не в последнюю очередь способствуют безграмотные публикации.
При чем тут инсайдеры, если речь идет о внутренних нарушителях? Инсайдер это тот, кто доступ уже имеет в силу своей производственной функции. "Взлом инсайдером"(подбор паролей, социальная инженерия, использование чужих аккаунтов и т.п.) - абсурд.
Почему он именуется злоумышленником? Кроме умысла есть ведь еще и несколько форм несторожной вины (предвидел негативные последствия, но недооценил тяжесть; предвидел, но понадеялся, что не наступят; не предвидел, хотя мог и должен был предвидеть), на которые как раз и приходится львиная доля внутренних нарушений.
А почему он преступник, если для этого надо, чтобы было подтверждено нарушение им государственных правил игры (кстати, это делает суд), а не внутрикорпоративных?
Иногда перевод без знания предмета вредит больше, чем отсутствие русского перевода.

стоимость - через почасовые ставки консультантов

Я его уже спрашивал - он не допускает.

Заметьте: тот СЕО, которого Вы сейчас обрисовали, это третий level зрелости бизнесов. Не исключаю, что среди Ваших clients и partners он наиболее или весьма распространен. Тем не менее, для российского бизнеса в-целом или хотя бы для работодателей аудитории секюритилаба реально актуальны второй и даже первый (который "рубим по-легкому"). CISO третьего уровня мало от малости бизнесов третьего уровня of maturity.

Что это даст Вашему бизнесу, моральное удовлетворение? Это не сделает информацию, ставшую известной всему миру, опять страшной тайной узкого круга. А пока Вы будете с него $1 млрд. ущерба из зарплаты удерживать 10 тысяч лет, Ваш бизнес 10 тысяч раз загнется из-за этих разбежавшихся клиентов. Так что не заниматься безопасностью банально невыгодно. Это как раз не вопрос, это многие понимают. Затруднения вызывает понимание, что заниматься может быть выгодно.

Когда палец указывает на небо, дурак смотрит на палец(с)
Есть, блин, два банка. База вкладчиков одного периодически всплывает на рынке, второго нет. Очевидно, что первый теряет деньги. Примечательно, что второй их приобретает.

2kutkh,
p.s. Попробуйте покрутить ситуации "безопасность --> конкурентное преимущество". Например, есть два автосервиса. Посетителям одного после визита начинают названивать продавцы ОСАГО и поступать левая реклама шиномонтажей и тонировок в почтовый ящик (металлический), а второго - нет. Первые теряют клиентов, вторые приобретают. Неприкосновенность базы данных приносит реальные деньги. Это экспромт, можно получше придумать.

2kutkh,
Я не знаю, какой аргумент сгодится Вашему директору, т.к. (как правильно отмечено А.Л.) бизнес надо понимать, чтобы с ним общаться. Думайте.

У меня времени мало, чтобы лучше объяснять. Ок. Некоторый бизнес не внедряет, скажем, интернет-трейдинг, потому что боится (небезосновательно, кстати). А выгоды от него обещаются отличные (значительный прирост покупателей) - скажем, $1 млн. А вложение в безопасность $0.1 млн. позволит ему ее получить. А не вложение не позволит.
+$0.9 млн. это хороший эффект от -$0.1 млн.?

А это, кстати, ответ Лукацкому: в России низок уровень CISO, потому что крайне низка ступень развития у самих CEO - дикие они. Не осознается пока потребность.
Вот когда период "чисто рубим бабло по-легкому" заканчивается, то начинают искательно шарить по сторонам и извилинами шевелить на предмет "где у нас еще какие-нибудь резервы для роста" и слушать умные советы.

Приведу отвлеченный (кажется, уже где-то анонимно приводил): приобретение детского автомобильного кресла позволяет Вам показывать своего ребенка лучшим эскулапам региона, а не фельдшеру из местной санчасти. Или быстрее ехать, если Вы и прежде рисковали его к ним без кресла возить. Или меньше потом лечить, если все-таки, не дай бог, какое ДТП. Есть выгоды от затрат на безопасность? В бизнесе то же самое: он начинает позволять себе больше, его возможности расширяются. Умный бизнес это и сам понимает, в глупый надо хорошего CISO подсаживать, который объясняет.

Спасибо за правильную статью: писать их надо, даже если читатели пока не очень воспринимают.
Дествительно в российском восприятии Information security management все время выпадает ключевое management (управленческая деятельность).