5.2.2  信息安全組織

信息安全組織包含2個控制目標(biāo)7個控制措施

執(zhí)行特定安全過程（例如防病毒系統(tǒng)升級、風(fēng)險評估√漏洞掃描、安全監(jiān)測等）的職責(zé)、風(fēng)險管理行為的職責(zé)。分配有安全職責(zé)的人員可以將安全任務(wù)委托給其他人員，但他們?nèi)匀回撚胸?zé)任，并且能夠確定任何被委托的任務(wù)是否已被正確地執(zhí)行。在許多組織中，會任命一名信息安全管理人員全面負責(zé)各項安全技術(shù)的開發(fā)應(yīng)用和各項安全管理措施實施，并支持控制措施的識別。然而，提供控制措施資源并實施這些控制措施的職責(zé)通常歸于各個系統(tǒng)管理人員。一種通常的做法是為每一項資產(chǎn)指定一名責(zé)任人負責(zé)該項資產(chǎn)的日常保護。

要做好職責(zé)分離，確保不會有人能在非授權(quán)和不被監(jiān)測的情況下訪問、修改和使用資產(chǎn)。一般建議將系統(tǒng)管理員、安全管理員、日志審計員者三種角色進行分離，由不同人員擔(dān)任，并要求不能兼任。在設(shè)計控制時還應(yīng)考慮相互串通的可能。對于小型組織而言，職責(zé)分離也許難以實現(xiàn)，但是應(yīng)該盡可能和盡可行地考慮職責(zé)分離。當(dāng)職責(zé)難以分離時，應(yīng)考慮其他控制措施如監(jiān)控活動、審計跟蹤和管理監(jiān)督等。