5.2.2  信息安全組織

信息安全組織包含2個控制目標7個控制措施

執(zhí)行特定安全過程（例如防病毒系統(tǒng)升級、風險評估√漏洞掃描、安全監(jiān)測等）的職責、風險管理行為的職責。分配有安全職責的人員可以將安全任務(wù)委托給其他人員，但他們?nèi)匀回撚胸熑危⑶夷軌虼_定任何被委托的任務(wù)是否已被正確地執(zhí)行。在許多組織中，會任命一名信息安全管理人員全面負責各項安全技術(shù)的開發(fā)應(yīng)用和各項安全管理措施實施，并支持控制措施的識別。然而，提供控制措施資源并實施這些控制措施的職責通常歸于各個系統(tǒng)管理人員。一種通常的做法是為每一項資產(chǎn)指定一名責任人負責該項資產(chǎn)的日常保護。

要做好職責分離，確保不會有人能在非授權(quán)和不被監(jiān)測的情況下訪問、修改和使用資產(chǎn)。一般建議將系統(tǒng)管理員、安全管理員、日志審計員者三種角色進行分離，由不同人員擔任，并要求不能兼任。在設(shè)計控制時還應(yīng)考慮相互串通的可能。對于小型組織而言，職責分離也許難以實現(xiàn)，但是應(yīng)該盡可能和盡可行地考慮職責分離。當職責難以分離時，應(yīng)考慮其他控制措施如監(jiān)控活動、審計跟蹤和管理監(jiān)督等。