5.2.2  信息安全組織

信息安全組織包含2個(gè)控制目標(biāo)7個(gè)控制措施

執(zhí)行特定安全過(guò)程（例如防病毒系統(tǒng)升級(jí)、風(fēng)險(xiǎn)評(píng)估√漏洞掃描、安全監(jiān)測(cè)等）的職責(zé)、風(fēng)險(xiǎn)管理行為的職責(zé)。分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員，但他們?nèi)匀回?fù)有責(zé)任，并且能夠確定任何被委托的任務(wù)是否已被正確地執(zhí)行。在許多組織中，會(huì)任命一名信息安全管理人員全面負(fù)責(zé)各項(xiàng)安全技術(shù)的開(kāi)發(fā)應(yīng)用和各項(xiàng)安全管理措施實(shí)施，并支持控制措施的識(shí)別。然而，提供控制措施資源并實(shí)施這些控制措施的職責(zé)通常歸于各個(gè)系統(tǒng)管理人員。一種通常的做法是為每一項(xiàng)資產(chǎn)指定一名責(zé)任人負(fù)責(zé)該項(xiàng)資產(chǎn)的日常保護(hù)。

要做好職責(zé)分離，確保不會(huì)有人能在非授權(quán)和不被監(jiān)測(cè)的情況下訪問(wèn)、修改和使用資產(chǎn)。一般建議將系統(tǒng)管理員、安全管理員、日志審計(jì)員者三種角色進(jìn)行分離，由不同人員擔(dān)任，并要求不能兼任。在設(shè)計(jì)控制時(shí)還應(yīng)考慮相互串通的可能。對(duì)于小型組織而言，職責(zé)分離也許難以實(shí)現(xiàn)，但是應(yīng)該盡可能和盡可行地考慮職責(zé)分離。當(dāng)職責(zé)難以分離時(shí)，應(yīng)考慮其他控制措施如監(jiān)控活動(dòng)、審計(jì)跟蹤和管理監(jiān)督等。