信息安全管理中的安全系统开发生命周期实施阶段之二
正因为每个可能的员工和老板都在寻求一种最合理的雇佣方式,所以每个机构都应该在信息安全部门招聘员工时仔细考虑每个人选。当在机构里实施信息安全计划时,很多人力资源问题必须得到解决。首先,整个机构必须决定在内部怎样对安全工作定位和命名;其次,信息安全利益共同体必须为信息安全工作做出合理的雇佣计划(或调整雇佣计划);再次,IT行业中的利益团体必须了解信息安全对IT工作当中每一个角色部分的影响,从而据此调整员工的职责和记录其实际工作;最后,利益团体的普遍管理工作必须由信息安全专业人员通过把个人机构管理实践与可靠的信息安全规则结合为一体来执行。
一个内容丰富的信息安全计划将涉及到各种专业人员,因为一份优秀的安全计划是自上而下展开的,高级管理是保证信息安全计划成功实施的至关重要的力量。发展和实行具体的安全策略和过程需要额外的管理支持。最后,技术专家的意见在安全操作的具体实施当中也是必要的。
以往各种常用的角色和名称在本书当中也在使用。到此,对这些角色的大致定义已较为充分。但我们仍希望得到信息安全专家对它们的更准确的定义。
*首席信息官(CIO)是负责将机构决策工作纳入机构信息系统或数据处理划分行动计划的高级技术官员
*首席信息安全官( CISO)也可称为安全经理、安全总监或类似的名称,主要负责机构信息安全的评估、管理和实施
*安全主管负责确保信息安全计划每日的执行,完成CISO制定的目标以及技术人员提出的问题
*安全技术人员是被指派为负责配置防火墙和入侵检测系统(一般指IDS)、运行安全软件、诊断和检修故障、调试系统并配合网络管理员以确保安全技术方案得到合理实施的具有一定技术资格的人员。
*数据所有者负责特定信息设置的安全和使用。
*数据管理员直接与所有者合作并负责信息的存储、维护和保护。
*数据用户是工作中需要使用信息以完成机构任务的系统用户。机构当中的每个人都对数据安全负有一定责任,因此,数据用户也包括那些负责信息安全的人员。
在第10章中将详细介绍机构信息安全所涉及的各种角色和人员。
许多机构寻找那些具有专业认证的求职者,这样能更方便的了解他们的熟练程度。遗憾的是,多数认证较为陌生,机构还不能完全了解。认证培训者在继续努力地向公众宣传。雇主们尽力了解这些专业认证与他们自身的需求是否相称, 求职者则尽力去获得适合他们所持认证的职位。
在安全经理和首席信息安全官看来,最有力的认证,一个是国际信息系统安全认证联盟(ISC)提供的信息系统安全认证专家(CISSP)认证,可参见http://wmv.isc2. org;另一个是系统安全从业者认证(SSCP)。
SANS(www. sans.org)是一个著名的从事系统管理和网络安全机构,在1999 年开发出一系列技术安全认证,即著名的全球信息安全认证( GIAC)(www.giac.org),那时还不存在技术认证。任何希望从事技术安全领域工作的人只能获得网络或计算机认证,诸如微软系统工程师认证( MCSE)或Novell工程师认证(CNE)。 今天,可以单独获取全球信息安全认证( GIAC)系列认证资格,也可与其他认证资格相结合,如GIAC安全工程师(GSE)资格等。正如系统安全从业者认证( SSCP),GIAC信息安全官员是对结合基本技术知识和对威胁、风险及最佳实践的了解的全面认证资格。
信息安全学科的最新认证之一是安全专业认证(SCP,"www.securitycertified.net),它分为两种类型:安全网络专业认证(SCNP)和安全网络架构师认证( SCNA)。这两种认证均是针对安全技术人员,含有明显的技术成分,而后者还具有一定的鉴定禽邑力。
ICSA是第一个卖方主办的系列认证。TruSecure公司,著名的安全公司,正积极推广ICSA安全实践者类型的认证。这个认证方案强调提供基于技能和知识, 技术细节和注重实效的认证。
CompTIA(www.comptia.com)是建立第一个卖方中立的专业IT认证的公司,其A+系列最近已经定义了将来认证的知识需求。安全加上论证与网络加上论证类似,也和其他强调实施安全所必须的关键技能相似,而和卖方的特定软件或硬件包无关。
注册信息系统审计师认证( CISA),是非特定的安全认证,它包含大量信息安全成分。信息系统审计与控制协会和基金会在审计、网络和安全专业等方面推动这项认证。最近已经建立了一种新的认证,注册信息安全管理员( CISM)认证,其具体细节正在定义当中。
信息安全产业认证方案与计划,将在第10章做全面讨论。