大型機(jī)構(gòu)的安全

正如附加材料中所描述的那樣，大型機(jī)構(gòu)有1 000臺以上的設(shè)備需要安全管理。這種機(jī)構(gòu)有可能會配置專業(yè)安全人員并提供資金來完成表5一l所列出的大多數(shù)功能。他們通常建立內(nèi)部組織負(fù)責(zé)處理所面臨的特定信息安全挑戰(zhàn)。大型機(jī)構(gòu)執(zhí)行的安全功能和采用的方法各不相同，這并不奇怪。即使在他們進(jìn)行日常的安全操作時，這類機(jī)構(gòu)中的信息安全部門往往會成立或調(diào)整內(nèi)部小組來應(yīng)對長期挑戰(zhàn)。因而，在大型機(jī)構(gòu)中，各個功能可能被細(xì)分到不同的部門；相反，小型機(jī)構(gòu)設(shè)立的部門要少得多，也許只用一個普通小組來代表整個部門。

一個值的推薦方法是把所有功能分成4個區(qū)域。

①由非技術(shù)業(yè)務(wù)部門執(zhí)行的功能如：

*法規(guī)

*培訓(xùn)

②由IT小組執(zhí)行的功能如：

*系統(tǒng)安全管理

*網(wǎng)絡(luò)安全管理

*集中式認(rèn)證

③由信息安全部門實施的功能（作為對機(jī)構(gòu)和其外部合作伙伴的一個客戶服務(wù)）如：

*風(fēng)險管理

*系統(tǒng)測試

*事故響應(yīng)計劃

*測量

*弱點評估

④其他由信息安全部門實施的功能還包括：

*策略

*遵循

*風(fēng)險管理

這種劃分可讓CISO負(fù)責(zé)監(jiān)督信息安全各功能是否在機(jī)構(gòu)內(nèi)各部門被充分地執(zhí)行。如圖5一l和圖5—2所示，大型和超大型機(jī)構(gòu)一般都有專門的職員來支持安全項目。專職安全人員的配置依賴于大量的因素，包括所保護(hù)信息的敏感性、行業(yè)規(guī)則（如金融業(yè)和衛(wèi)生保健業(yè)）以及收益率。公司用于人員預(yù)算的資源越多，則越有可能保持較大的信息安全人員配置。如圖5-1所示，一個典型的大型機(jī)構(gòu)平均有1個專職安全管理人員，4個專職的安全系統(tǒng)管理員或技術(shù)員和15個兼職人員，這些兼職人員除了其他的工作職責(zé)外還有信息安全職責(zé)。例如，Win2000 Server的系統(tǒng)管理員可能會負(fù)責(zé)維護(hù)服務(wù)器和運(yùn)行安全應(yīng)用程序兩項工作。如圖5—2所示，超大型機(jī)構(gòu)可能有20多個專職安全人員，有40多個兼職工作人員。