信息安全角色和職務

Schwartz、Erwin、weafer和Briney所做的研究發現，信息安全職務可分為3種類型：制定、建立、管理。

制定者提供策略、方針和標準，還提供咨詢和風險評估，以及開發產品、制定技術架構。這是一類具有廣泛知識面并有一定資歷的人才，但他們的知識并不深入；接下來需要的是建立者，他們才是真正的技術人員，負責建立和制定安全解決方案；最后，需要讓一些員工操作和管理安全工具、實施安全監控以及不斷地改進解決方案。通常都只投入一批人來完成上述種工作，但如果將信息安全技術人員分為上述3類，那他們就會有更高的工作效率，也就是說，由具備一定資歷的人員作為制定者，由擅長技術的人員作為建立者，而一部分人員作為操作主管。

一個典型的機構有著許多具有信息安全責任心的人，不同的機構在這些人員的使用上也許有所不同，大多數工作可分為以下幾種類別：

*首席信息安全官( CISO) i安全主管

*安全管理員和分析員

*安全技術人員

*安全工作人員

*安全顧問

*安全官員和調查員

*客戶服務人員

此處僅對這些職務進行簡單討論，第10章中將做詳細介紹。