计算机平安的角色和义务.docVIP

计算机安全的角色和责任 计算机安全的角色和责任 作者：jeff 会员文章来源：本站原创 点击数：729 更新时间：2006-7-18 讨论计算机安全中的一个最基本的问题是：“谁负责？”的问题。当然，从最基础的层次上回答这个是很简单的：计算机安全是每一个影响计算机系统安全的人的责任。但是，特定任务以及不同个人和机构实体的责任是不同的。 这里我们简要描述各种不同的机构官员和办公人员在计算机安全方面通常的角色和责任。他们包括以下这些类型的人员 ： 1. 高级管理人员 机构成功的责任最终要落在高级管理人身上。他们确定了机构的计算机安全项目以及项目的整体目的、目标和实现顺序以支持机构的使命。机构的领导有责任最终确保有足够的资源用于该项目并保证项目的成功。高级管理人还有责任通过实践所有的安全措施为其员工作出好的榜样。 2. 计算机安全管理人员 计算机安全项目管理人（和支持人员）指导机构计算机安全项目的日常管理工作。此人还负责协调所有与计算机安全项目相关的机构部门之间以及与机构之外的关系到安全的交流活动。 3. 项目和职能管理人／应用拥有者 项目或职能管理人／应用拥有者负责包括支持计算机系统在内的项目或职能（如采购或工资支付） 。他们的责任包括提供适当的安全，其中包括管理、操作和技术控制。通常有一名技术人员协助这些官员检查系统的实际运行。不同的项目实施工作都需要这样的支持。 在制定和实施安全需求时，安全官（通常是针对这个系统的，对于机构的大型或关键系统尤其如此）通常也对项目或职能管理人／应用拥有者提供协助。 4. 技术提供人员 系统管理人员／系统管理员 这些人是设计或操作计算机系统的管理人或技术员。他们负责在计算机系统中部署技术安全措施和了解与其系统相关的安全技术。他们还需要确保其服务的连续性以满足职能管理人的需要并对其系统（以及与安全有关的方面）的技术缺陷进行分析。他们通常是更大的信息资源管理（IRM）机构的一部分。 通信／电信管理人员 这些人员通常负责提供电信服务，包括语音、数据、视频和传真服务。这些通信系统的责任与那些对其系统负责的系统管理官员的责任类似。这些人员可能与其他技术提供人员一样来自IRM。 系统安全管理人／官 通常，协助系统管理人员进行日常安全实施／管理工作的是系统安全管理人／官。虽然他们通常不是计算机安全项目的管理官员，但是这些人员还是负责协调特定系统的安全工作。此人与系统管理人员、计算机安全项目管理人以及项目或职能管理人的安全官密切合作。事实上，基于机构的不同，此人可能与项目或职能管理人的安全官是同一个人。此人可以是也可以不是机构整体安全部门的成员。 客户支持人员 无论客户支持人员是否担负事件处理的工作，他们都需要识别安全事件并为寻求支持者找到响应事件的适当人员或机构。 5. 功能支持人员 管理人、技术提供人员和安全官的安全责任由其它功能支持人员给予支持。下面是其中一些重要的类型： 审计人员 审计师负责检查系统以确定系统是否符合既定的安全需求，包括系统和机构策略以及安全控制是否正确。非正规的审计可以由操作系统的人在监督下进行；为了更加公平，可以使用外部审计师 。 物理安全人员 物理安全官通常负责制定和执行适当的物理安全控制，如果需要可以咨询计算机安全管理人员、项目和职能管理人或其他人的意见。物理安全不应该只涉及到中心计算机的位置，也应该包括备份设施和办公环境。在政府中，此职位通常负责人事背景调查和处理与安全证件有关的问题。 灾难恢复／应急计划人员 有些机构拥有专职的灾难恢复／应急计划人员。这种情况下，他们通常负责机构整体的应急计划，如果需要可能同项目和职能管理人／应用拥有者、计算机安全人员以及其他可以对应急计划提供支持的人员一同工作。 质量保证人员 许多机构建立了质量保证项目以改进其提供给客户的产品和服务。质量官应该掌握工作所需的计算机安全以及如何提高程序质量方面的知识。例如，通过提高基于计算机信息的完整性、服务的可用性以及客户信息的机密性这些方法可能会对产品质量有帮助。 采购人员 采购官负责确保机构的采购在适当人员的监督下进行。采购官不负责确保物品或服务满足计算机安全的预期，因为其缺乏技术专业知识。然而，此人应该了解计算机安全的标准并应该在技术性采购中加以考虑。 培训官 机构要确定是否由培训官或计算机安全项目官负责在计算机安全方面培训用户、操作员和管理人。无论哪种情况，这两个机构都必须一同制定有效的培训计划。 人事管理人员 人事管理人员通常是协助管理人确定某个职位是否需要进行安全背景调查的第一联系点。人事和安全官员在涉及到背景调查的工作中紧密合作。人事管理人员还可能负责为员工离开机构提供与安全相关的离职规程。 风险管理／计划人员 一些机构拥有专门研