信息安全组织一

5.2.2  信息安全组织

信息安全组织包含2个控制目标7个控制措施

执行特定安全过程（例如防病毒系统升级、风险评估√漏洞扫描、安全监测等）的职责、风险管理行为的职责。分配有安全职责的人员可以将安全任务委托给其他人员，但他们仍然负有责任，并且能够确定任何被委托的任务是否已被正确地执行。在许多组织中，会任命一名信息安全管理人员全面负责各项安全技术的开发应用和各项安全管理措施实施，并支持控制措施的识别。然而，提供控制措施资源并实施这些控制措施的职责通常归于各个系统管理人员。一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。

要做好职责分离，确保不会有人能在非授权和不被监测的情况下访问、修改和使用资产。一般建议将系统管理员、安全管理员、日志审计员者三种角色进行分离，由不同人员担任，并要求不能兼任。在设计控制时还应考虑相互串通的可能。对于小型组织而言，职责分离也许难以实现，但是应该尽可能和尽可行地考虑职责分离。当职责难以分离时，应考虑其他控制措施如监控活动、审计跟踪和管理监督等。