資料來源:
http://www.us-cert.gov/ITSecurityEBK/
http://www.us-cert.gov/ITSecurityEBK/EBK2007.pdf
這份相關資訊安全人員的角色及應有功能與職責,算是區分的很詳細,可以參考的...
經營管理階層:
Chief Information Officer(資訊長)
Information Security Officer/Chief Security Officer(安全長)
IT Security Compliance Professional(法務稽核)
功能執行階層:
Digital Forensics Professional(數位鑑識專業人員)
IT Security Engineer(資安工程師)
IT Systems Operations/Maintenance Professional(操作維護專業人員)
IT Security Professional(資安專業人員)
基本必須階層(Corollary):
Physical Security Professional(保全專業人員)
Privacy Professional(隱私權專業人員)
Procurement Professional(採購專業人員)
#看到昏頭沒...XD
經營管理階層的工作真不少耶...但似乎都丟給功能執行階層在做管理及規劃...對吧!快拿回去給上頭看看吧!
這對應表還包含實體保全及採購人員...範圍夠大吧...會不會發現公司只有這兩個角色在做資安...XD。
功能執行階層的角色不少的,大部分公司或單位應該只有操作維護專業人員吧。注意,管防火牆及防毒軟體不等同是資安工程師或專業人員喔。
在功能執行階層部分,我覺得最重要的資訊安全領域:
操作維護、網路管理、系統管理、風險控管、應變處理、數位鑑識。其中數位鑑識比較建議採外聘方式(與外包不同喔)。
目前大公司做到比較好的,大概到風險控管部分,應變處理、數位鑑識幾乎沒有。我也建議要循序漸進的培養資安人才。操作及維護>網路管理>系統管理>風險控管>應變處理>數位鑑識,每個階段大概2~3年,這樣才能有效的技術扎根,畢竟資安問題沒有技術當背景,是很容易被駭客搓破的...大家加油~~
沒有留言:
張貼留言