5.2.2  信息安全組織

信息安全組織包含2個控制目標7個控制措施

執行特定安全過程（例如防病毒系統升級、風險評估√漏洞掃描、安全監測等）的職責、風險管理行為的職責。分配有安全職責的人員可以將安全任務委托給其他人員，但他們仍然負有責任，并且能夠確定任何被委托的任務是否已被正確地執行。在許多組織中，會任命一名信息安全管理人員全面負責各項安全技術的開發應用和各項安全管理措施實施，并支持控制措施的識別。然而，提供控制措施資源并實施這些控制措施的職責通常歸于各個系統管理人員。一種通常的做法是為每一項資產指定一名責任人負責該項資產的日常保護。

要做好職責分離，確保不會有人能在非授權和不被監測的情況下訪問、修改和使用資產。一般建議將系統管理員、安全管理員、日志審計員者三種角色進行分離，由不同人員擔任，并要求不能兼任。在設計控制時還應考慮相互串通的可能。對于小型組織而言，職責分離也許難以實現，但是應該盡可能和盡可行地考慮職責分離。當職責難以分離時，應考慮其他控制措施如監控活動、審計跟蹤和管理監督等。