正因為每個可能的員工和老板都在尋求一種最合理的雇傭方式，所以每個機構(gòu)都應(yīng)該在信息安全部門招聘員工時仔細(xì)考慮每個人選。當(dāng)在機構(gòu)里實施信息安全計劃時，很多人力資源問題必須得到解決。首先，整個機構(gòu)必須決定在內(nèi)部怎樣對安全工作定位和命名；其次，信息安全利益共同體必須為信息安全工作做出合理的雇傭計劃（或調(diào)整雇傭計劃）；再次，IT行業(yè)中的利益團體必須了解信息安全對IT工作當(dāng)中每一個角色部分的影響，從而據(jù)此調(diào)整員工的職責(zé)和記錄其實際工作；最后，利益團體的普遍管理工作必須由信息安全專業(yè)人員通過把個人機構(gòu)管理實踐與可靠的信息安全規(guī)則結(jié)合為一體來執(zhí)行。

一個內(nèi)容豐富的信息安全計劃將涉及到各種專業(yè)人員，因為一份優(yōu)秀的安全計劃是自上而下展開的，高級管理是保證信息安全計劃成功實施的至關(guān)重要的力量。發(fā)展和實行具體的安全策略和過程需要額外的管理支持。最后，技術(shù)專家的意見在安全操作的具體實施當(dāng)中也是必要的。

以往各種常用的角色和名稱在本書當(dāng)中也在使用。到此，對這些角色的大致定義已較為充分。但我們?nèi)韵Ｍ玫叫畔踩珜＜覍λ鼈兊母鼫?zhǔn)確的定義。

*首席信息官(CIO)是負(fù)責(zé)將機構(gòu)決策工作納入機構(gòu)信息系統(tǒng)或數(shù)據(jù)處理劃分行動計劃的高級技術(shù)官員

*首席信息安全官( CISO)也可稱為安全經(jīng)理、安全總監(jiān)或類似的名稱，主要負(fù)責(zé)機構(gòu)信息安全的評估、管理和實施

*安全主管負(fù)責(zé)確保信息安全計劃每日的執(zhí)行，完成CISO制定的目標(biāo)以及技術(shù)人員提出的問題

*安全技術(shù)人員是被指派為負(fù)責(zé)配置防火墻和入侵檢測系統(tǒng)（一般指IDS）、運行安全軟件、診斷和檢修故障、調(diào)試系統(tǒng)并配合網(wǎng)絡(luò)管理員以確保安全技術(shù)方案得到合理實施的具有一定技術(shù)資格的人員。

*數(shù)據(jù)所有者負(fù)責(zé)特定信息設(shè)置的安全和使用。

*數(shù)據(jù)管理員直接與所有者合作并負(fù)責(zé)信息的存儲、維護和保護。

*數(shù)據(jù)用戶是工作中需要使用信息以完成機構(gòu)任務(wù)的系統(tǒng)用戶。機構(gòu)當(dāng)中的每個人都對數(shù)據(jù)安全負(fù)有一定責(zé)任，因此，數(shù)據(jù)用戶也包括那些負(fù)責(zé)信息安全的人員。

在第10章中將詳細(xì)介紹機構(gòu)信息安全所涉及的各種角色和人員。

許多機構(gòu)尋找那些具有專業(yè)認(rèn)證的求職者，這樣能更方便的了解他們的熟練程度。遺憾的是，多數(shù)認(rèn)證較為陌生，機構(gòu)還不能完全了解。認(rèn)證培訓(xùn)者在繼續(xù)努力地向公眾宣傳。雇主們盡力了解這些專業(yè)認(rèn)證與他們自身的需求是否相稱， 求職者則盡力去獲得適合他們所持認(rèn)證的職位。

在安全經(jīng)理和首席信息安全官看來，最有力的認(rèn)證，一個是國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)提供的信息系統(tǒng)安全認(rèn)證專家(CISSP)認(rèn)證，可參見http：//wmv.isc2. org；另一個是系統(tǒng)安全從業(yè)者認(rèn)證(SSCP)。

SANS(www. sans.org)是一個著名的從事系統(tǒng)管理和網(wǎng)絡(luò)安全機構(gòu)，在1999 年開發(fā)出一系列技術(shù)安全認(rèn)證，即著名的全球信息安全認(rèn)證( GIAC)(www.giac.org)，那時還不存在技術(shù)認(rèn)證。任何希望從事技術(shù)安全領(lǐng)域工作的人只能獲得網(wǎng)絡(luò)或計算機認(rèn)證，諸如微軟系統(tǒng)工程師認(rèn)證( MCSE)或Novell工程師認(rèn)證(CNE)。 今天，可以單獨獲取全球信息安全認(rèn)證( GIAC)系列認(rèn)證資格，也可與其他認(rèn)證資格相結(jié)合，如GIAC安全工程師(GSE)資格等。正如系統(tǒng)安全從業(yè)者認(rèn)證( SSCP)，GIAC信息安全官員是對結(jié)合基本技術(shù)知識和對威脅、風(fēng)險及最佳實踐的了解的全面認(rèn)證資格。

信息安全學(xué)科的最新認(rèn)證之一是安全專業(yè)認(rèn)證(SCP，"www.securitycertified.net)，它分為兩種類型：安全網(wǎng)絡(luò)專業(yè)認(rèn)證(SCNP)和安全網(wǎng)絡(luò)架構(gòu)師認(rèn)證( SCNA)。這兩種認(rèn)證均是針對安全技術(shù)人員，含有明顯的技術(shù)成分，而后者還具有一定的鑒定禽邑力。

ICSA是第一個賣方主辦的系列認(rèn)證。TruSecure公司，著名的安全公司，正積極推廣ICSA安全實踐者類型的認(rèn)證。這個認(rèn)證方案強調(diào)提供基于技能和知識， 技術(shù)細(xì)節(jié)和注重實效的認(rèn)證。

CompTIA（www.comptia.com）是建立第一個賣方中立的專業(yè)IT認(rèn)證的公司，其A+系列最近已經(jīng)定義了將來認(rèn)證的知識需求。安全加上論證與網(wǎng)絡(luò)加上論證類似，也和其他強調(diào)實施安全所必須的關(guān)鍵技能相似，而和賣方的特定軟件或硬件包無關(guān)。

注冊信息系統(tǒng)審計師認(rèn)證( CISA)，是非特定的安全認(rèn)證，它包含大量信息安全成分。信息系統(tǒng)審計與控制協(xié)會和基金會在審計、網(wǎng)絡(luò)和安全專業(yè)等方面推動這項認(rèn)證。最近已經(jīng)建立了一種新的認(rèn)證，注冊信息安全管理員( CISM)認(rèn)證，其具體細(xì)節(jié)正在定義當(dāng)中。

信息安全產(chǎn)業(yè)認(rèn)證方案與計劃，將在第10章做全面討論。