正因?yàn)槊總€(gè)可能的員工和老板都在尋求一種最合理的雇傭方式，所以每個(gè)機(jī)構(gòu)都應(yīng)該在信息安全部門招聘員工時(shí)仔細(xì)考慮每個(gè)人選。當(dāng)在機(jī)構(gòu)里實(shí)施信息安全計(jì)劃時(shí)，很多人力資源問題必須得到解決。首先，整個(gè)機(jī)構(gòu)必須決定在內(nèi)部怎樣對(duì)安全工作定位和命名；其次，信息安全利益共同體必須為信息安全工作做出合理的雇傭計(jì)劃（或調(diào)整雇傭計(jì)劃）；再次，IT行業(yè)中的利益團(tuán)體必須了解信息安全對(duì)IT工作當(dāng)中每一個(gè)角色部分的影響，從而據(jù)此調(diào)整員工的職責(zé)和記錄其實(shí)際工作；最后，利益團(tuán)體的普遍管理工作必須由信息安全專業(yè)人員通過把個(gè)人機(jī)構(gòu)管理實(shí)踐與可靠的信息安全規(guī)則結(jié)合為一體來執(zhí)行。

一個(gè)內(nèi)容豐富的信息安全計(jì)劃將涉及到各種專業(yè)人員，因?yàn)橐环輧?yōu)秀的安全計(jì)劃是自上而下展開的，高級(jí)管理是保證信息安全計(jì)劃成功實(shí)施的至關(guān)重要的力量。發(fā)展和實(shí)行具體的安全策略和過程需要額外的管理支持。最后，技術(shù)專家的意見在安全操作的具體實(shí)施當(dāng)中也是必要的。

以往各種常用的角色和名稱在本書當(dāng)中也在使用。到此，對(duì)這些角色的大致定義已較為充分。但我們?nèi)韵Ｍ玫叫畔踩珜＜覍?duì)它們的更準(zhǔn)確的定義。

*首席信息官(CIO)是負(fù)責(zé)將機(jī)構(gòu)決策工作納入機(jī)構(gòu)信息系統(tǒng)或數(shù)據(jù)處理劃分行動(dòng)計(jì)劃的高級(jí)技術(shù)官員

*首席信息安全官( CISO)也可稱為安全經(jīng)理、安全總監(jiān)或類似的名稱，主要負(fù)責(zé)機(jī)構(gòu)信息安全的評(píng)估、管理和實(shí)施

*安全主管負(fù)責(zé)確保信息安全計(jì)劃每日的執(zhí)行，完成CISO制定的目標(biāo)以及技術(shù)人員提出的問題

*安全技術(shù)人員是被指派為負(fù)責(zé)配置防火墻和入侵檢測(cè)系統(tǒng)（一般指IDS）、運(yùn)行安全軟件、診斷和檢修故障、調(diào)試系統(tǒng)并配合網(wǎng)絡(luò)管理員以確保安全技術(shù)方案得到合理實(shí)施的具有一定技術(shù)資格的人員。

*數(shù)據(jù)所有者負(fù)責(zé)特定信息設(shè)置的安全和使用。

*數(shù)據(jù)管理員直接與所有者合作并負(fù)責(zé)信息的存儲(chǔ)、維護(hù)和保護(hù)。

*數(shù)據(jù)用戶是工作中需要使用信息以完成機(jī)構(gòu)任務(wù)的系統(tǒng)用戶。機(jī)構(gòu)當(dāng)中的每個(gè)人都對(duì)數(shù)據(jù)安全負(fù)有一定責(zé)任，因此，數(shù)據(jù)用戶也包括那些負(fù)責(zé)信息安全的人員。

在第10章中將詳細(xì)介紹機(jī)構(gòu)信息安全所涉及的各種角色和人員。

許多機(jī)構(gòu)尋找那些具有專業(yè)認(rèn)證的求職者，這樣能更方便的了解他們的熟練程度。遺憾的是，多數(shù)認(rèn)證較為陌生，機(jī)構(gòu)還不能完全了解。認(rèn)證培訓(xùn)者在繼續(xù)努力地向公眾宣傳。雇主們盡力了解這些專業(yè)認(rèn)證與他們自身的需求是否相稱， 求職者則盡力去獲得適合他們所持認(rèn)證的職位。

在安全經(jīng)理和首席信息安全官看來，最有力的認(rèn)證，一個(gè)是國際信息系統(tǒng)安全認(rèn)證聯(lián)盟(ISC)提供的信息系統(tǒng)安全認(rèn)證專家(CISSP)認(rèn)證，可參見http：//wmv.isc2. org；另一個(gè)是系統(tǒng)安全從業(yè)者認(rèn)證(SSCP)。

SANS(www. sans.org)是一個(gè)著名的從事系統(tǒng)管理和網(wǎng)絡(luò)安全機(jī)構(gòu)，在1999 年開發(fā)出一系列技術(shù)安全認(rèn)證，即著名的全球信息安全認(rèn)證( GIAC)(www.giac.org)，那時(shí)還不存在技術(shù)認(rèn)證。任何希望從事技術(shù)安全領(lǐng)域工作的人只能獲得網(wǎng)絡(luò)或計(jì)算機(jī)認(rèn)證，諸如微軟系統(tǒng)工程師認(rèn)證( MCSE)或Novell工程師認(rèn)證(CNE)。 今天，可以單獨(dú)獲取全球信息安全認(rèn)證( GIAC)系列認(rèn)證資格，也可與其他認(rèn)證資格相結(jié)合，如GIAC安全工程師(GSE)資格等。正如系統(tǒng)安全從業(yè)者認(rèn)證( SSCP)，GIAC信息安全官員是對(duì)結(jié)合基本技術(shù)知識(shí)和對(duì)威脅、風(fēng)險(xiǎn)及最佳實(shí)踐的了解的全面認(rèn)證資格。

信息安全學(xué)科的最新認(rèn)證之一是安全專業(yè)認(rèn)證(SCP，"www.securitycertified.net)，它分為兩種類型：安全網(wǎng)絡(luò)專業(yè)認(rèn)證(SCNP)和安全網(wǎng)絡(luò)架構(gòu)師認(rèn)證( SCNA)。這兩種認(rèn)證均是針對(duì)安全技術(shù)人員，含有明顯的技術(shù)成分，而后者還具有一定的鑒定禽邑力。

ICSA是第一個(gè)賣方主辦的系列認(rèn)證。TruSecure公司，著名的安全公司，正積極推廣ICSA安全實(shí)踐者類型的認(rèn)證。這個(gè)認(rèn)證方案強(qiáng)調(diào)提供基于技能和知識(shí)， 技術(shù)細(xì)節(jié)和注重實(shí)效的認(rèn)證。

CompTIA（www.comptia.com）是建立第一個(gè)賣方中立的專業(yè)IT認(rèn)證的公司，其A+系列最近已經(jīng)定義了將來認(rèn)證的知識(shí)需求。安全加上論證與網(wǎng)絡(luò)加上論證類似，也和其他強(qiáng)調(diào)實(shí)施安全所必須的關(guān)鍵技能相似，而和賣方的特定軟件或硬件包無關(guān)。

注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證( CISA)，是非特定的安全認(rèn)證，它包含大量信息安全成分。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)和基金會(huì)在審計(jì)、網(wǎng)絡(luò)和安全專業(yè)等方面推動(dòng)這項(xiàng)認(rèn)證。最近已經(jīng)建立了一種新的認(rèn)證，注冊(cè)信息安全管理員( CISM)認(rèn)證，其具體細(xì)節(jié)正在定義當(dāng)中。

信息安全產(chǎn)業(yè)認(rèn)證方案與計(jì)劃，將在第10章做全面討論。