大型機構的安全

正如附加材料中所描述的那樣，大型機構有1 000臺以上的設備需要安全管理。這種機構有可能會配置專業安全人員并提供資金來完成表5一l所列出的大多數功能。他們通常建立內部組織負責處理所面臨的特定信息安全挑戰。大型機構執行的安全功能和采用的方法各不相同，這并不奇怪。即使在他們進行日常的安全操作時，這類機構中的信息安全部門往往會成立或調整內部小組來應對長期挑戰。因而，在大型機構中，各個功能可能被細分到不同的部門；相反，小型機構設立的部門要少得多，也許只用一個普通小組來代表整個部門。

一個值的推薦方法是把所有功能分成4個區域。

①由非技術業務部門執行的功能如：

*法規

*培訓

②由IT小組執行的功能如：

*系統安全管理

*網絡安全管理

*集中式認證

③由信息安全部門實施的功能（作為對機構和其外部合作伙伴的一個客戶服務）如：

*風險管理

*系統測試

*事故響應計劃

*測量

*弱點評估

④其他由信息安全部門實施的功能還包括：

*策略

*遵循

*風險管理

這種劃分可讓CISO負責監督信息安全各功能是否在機構內各部門被充分地執行。如圖5一l和圖5—2所示，大型和超大型機構一般都有專門的職員來支持安全項目。專職安全人員的配置依賴于大量的因素，包括所保護信息的敏感性、行業規則（如金融業和衛生保健業）以及收益率。公司用于人員預算的資源越多，則越有可能保持較大的信息安全人員配置。如圖5-1所示，一個典型的大型機構平均有1個專職安全管理人員，4個專職的安全系統管理員或技術員和15個兼職人員，這些兼職人員除了其他的工作職責外還有信息安全職責。例如，Win2000 Server的系統管理員可能會負責維護服務器和運行安全應用程序兩項工作。如圖5—2所示，超大型機構可能有20多個專職安全人員，有40多個兼職工作人員。