正因為每個可能的員工和老板都在尋求一種最合理的雇傭方式，所以每個機構都應該在信息安全部門招聘員工時仔細考慮每個人選。當在機構里實施信息安全計劃時，很多人力資源問題必須得到解決。首先，整個機構必須決定在內部怎樣對安全工作定位和命名；其次，信息安全利益共同體必須為信息安全工作做出合理的雇傭計劃（或調整雇傭計劃）；再次，IT行業中的利益團體必須了解信息安全對IT工作當中每一個角色部分的影響，從而據此調整員工的職責和記錄其實際工作；最后，利益團體的普遍管理工作必須由信息安全專業人員通過把個人機構管理實踐與可靠的信息安全規則結合為一體來執行。

一個內容豐富的信息安全計劃將涉及到各種專業人員，因為一份優秀的安全計劃是自上而下展開的，高級管理是保證信息安全計劃成功實施的至關重要的力量。發展和實行具體的安全策略和過程需要額外的管理支持。最后，技術專家的意見在安全操作的具體實施當中也是必要的。

以往各種常用的角色和名稱在本書當中也在使用。到此，對這些角色的大致定義已較為充分。但我們仍希望得到信息安全專家對它們的更準確的定義。

*首席信息官(CIO)是負責將機構決策工作納入機構信息系統或數據處理劃分行動計劃的高級技術官員

*首席信息安全官( CISO)也可稱為安全經理、安全總監或類似的名稱，主要負責機構信息安全的評估、管理和實施

*安全主管負責確保信息安全計劃每日的執行，完成CISO制定的目標以及技術人員提出的問題

*安全技術人員是被指派為負責配置防火墻和入侵檢測系統（一般指IDS）、運行安全軟件、診斷和檢修故障、調試系統并配合網絡管理員以確保安全技術方案得到合理實施的具有一定技術資格的人員。

*數據所有者負責特定信息設置的安全和使用。

*數據管理員直接與所有者合作并負責信息的存儲、維護和保護。

*數據用戶是工作中需要使用信息以完成機構任務的系統用戶。機構當中的每個人都對數據安全負有一定責任，因此，數據用戶也包括那些負責信息安全的人員。

在第10章中將詳細介紹機構信息安全所涉及的各種角色和人員。

許多機構尋找那些具有專業認證的求職者，這樣能更方便的了解他們的熟練程度。遺憾的是，多數認證較為陌生，機構還不能完全了解。認證培訓者在繼續努力地向公眾宣傳。雇主們盡力了解這些專業認證與他們自身的需求是否相稱， 求職者則盡力去獲得適合他們所持認證的職位。

在安全經理和首席信息安全官看來，最有力的認證，一個是國際信息系統安全認證聯盟(ISC)提供的信息系統安全認證專家(CISSP)認證，可參見http：//wmv.isc2. org；另一個是系統安全從業者認證(SSCP)。

SANS(www. sans.org)是一個著名的從事系統管理和網絡安全機構，在1999 年開發出一系列技術安全認證，即著名的全球信息安全認證( GIAC)(www.giac.org)，那時還不存在技術認證。任何希望從事技術安全領域工作的人只能獲得網絡或計算機認證，諸如微軟系統工程師認證( MCSE)或Novell工程師認證(CNE)。 今天，可以單獨獲取全球信息安全認證( GIAC)系列認證資格，也可與其他認證資格相結合，如GIAC安全工程師(GSE)資格等。正如系統安全從業者認證( SSCP)，GIAC信息安全官員是對結合基本技術知識和對威脅、風險及最佳實踐的了解的全面認證資格。

信息安全學科的最新認證之一是安全專業認證(SCP，"www.securitycertified.net)，它分為兩種類型：安全網絡專業認證(SCNP)和安全網絡架構師認證( SCNA)。這兩種認證均是針對安全技術人員，含有明顯的技術成分，而后者還具有一定的鑒定禽邑力。

ICSA是第一個賣方主辦的系列認證。TruSecure公司，著名的安全公司，正積極推廣ICSA安全實踐者類型的認證。這個認證方案強調提供基于技能和知識， 技術細節和注重實效的認證。

CompTIA（www.comptia.com）是建立第一個賣方中立的專業IT認證的公司，其A+系列最近已經定義了將來認證的知識需求。安全加上論證與網絡加上論證類似，也和其他強調實施安全所必須的關鍵技能相似，而和賣方的特定軟件或硬件包無關。

注冊信息系統審計師認證( CISA)，是非特定的安全認證，它包含大量信息安全成分。信息系統審計與控制協會和基金會在審計、網絡和安全專業等方面推動這項認證。最近已經建立了一種新的認證，注冊信息安全管理員( CISM)認證，其具體細節正在定義當中。

信息安全產業認證方案與計劃，將在第10章做全面討論。