制定安全项目中大型机构的安全

大型机构的安全

正如附加材料中所描述的那样，大型机构有1 000台以上的设备需要安全管理。这种机构有可能会配置专业安全人员并提供资金来完成表5一l所列出的大多数功能。他们通常建立内部组织负责处理所面临的特定信息安全挑战。大型机构执行的安全功能和采用的方法各不相同，这并不奇怪。即使在他们进行日常的安全操作时，这类机构中的信息安全部门往往会成立或调整内部小组来应对长期挑战。因而，在大型机构中，各个功能可能被细分到不同的部门；相反，小型机构设立的部门要少得多，也许只用一个普通小组来代表整个部门。

一个值的推荐方法是把所有功能分成4个区域。

①由非技术业务部门执行的功能如：

*法规

*培训

②由IT小组执行的功能如：

*系统安全管理

*网络安全管理

*集中式认证

③由信息安全部门实施的功能（作为对机构和其外部合作伙伴的一个客户服务）如：

*风险管理

*系统测试

*事故响应计划

*测量

*弱点评估

④其他由信息安全部门实施的功能还包括：

*策略

*遵循

*风险管理

这种划分可让CISO负责监督信息安全各功能是否在机构内各部门被充分地执行。如图5一l和图5—2所示，大型和超大型机构一般都有专门的职员来支持安全项目。专职安全人员的配置依赖于大量的因素，包括所保护信息的敏感性、行业规则（如金融业和卫生保健业）以及收益率。公司用于人员预算的资源越多，则越有可能保持较大的信息安全人员配置。如图5-1所示，一个典型的大型机构平均有1个专职安全管理人员，4个专职的安全系统管理员或技术员和15个兼职人员，这些兼职人员除了其他的工作职责外还有信息安全职责。例如，Win2000 Server的系统管理员可能会负责维护服务器和运行安全应用程序两项工作。如图5—2所示，超大型机构可能有20多个专职安全人员，有40多个兼职工作人员。