|
5. 功能支持人员
管理人、技术提供人员和安全官的安全责任由其它功能支持人员给予支持。下面是其中一些重要的类型:
审计人员 审计师负责检查系统以确定系统是否符合既定的安全需求,包括系统和机构策略以及安全控制是否正确。非正规的审计可以由操作系统的人在监督下进行;为了更加公平,可以使用外部审计师
。
物理安全人员 物理安全官通常负责制定和执行适当的物理安全控制,如果需要可以咨询计算机安全管理人员、项目和职能管理人或其他人的意见。物理安全不应该只涉及到中心计算机的位置,也应该包括备份设施和办公环境。在政府中,此职位通常负责人事背景调查和处理与安全证件有关的问题。
灾难恢复/应急计划人员 有些机构拥有专职的灾难恢复/应急计划人员。这种情况下,他们通常负责机构整体的应急计划,如果需要可能同项目和职能管理人/应用拥有者、计算机安全人员以及其他可以对应急计划提供支持的人员一同工作。
质量保证人员 许多机构建立了质量保证项目以改进其提供给客户的产品和服务。质量官应该掌握工作所需的计算机安全以及如何提高程序质量方面的知识。例如,通过提高基于计算机信息的完整性、服务的可用性以及客户信息的机密性这些方法可能会对产品质量有帮助。
采购人员 采购官负责确保机构的采购在适当人员的监督下进行。采购官不负责确保物品或服务满足计算机安全的预期,因为其缺乏技术专业知识。然而,此人应该了解计算机安全的标准并应该在技术性采购中加以考虑。
培训官 机构要确定是否由培训官或计算机安全项目官负责在计算机安全方面培训用户、操作员和管理人。无论哪种情况,这两个机构都必须一同制定有效的培训计划。
人事管理人员 人事管理人员通常是协助管理人确定某个职位是否需要进行安全背景调查的第一联系点。人事和安全官员在涉及到背景调查的工作中紧密合作。人事管理人员还可能负责为员工离开机构提供与安全相关的离职规程。
风险管理/计划人员 一些机构拥有专门研究机构可能遭遇的各种风险的全职人员。虽然这些人员主要关注宏观的问题,但是这一职能也包括与计算机安全相关的风险。对计算机系统特定的风险分析通常不是这些人员进行的。
物理设备管理人员 这些人员负责确保机构系统安全运行所需的诸如电力和环境控制之类的供应。通常他们得到医护、消防、危险废弃物或生命安全等应急人员的协助。
|
