字體:小 中 大 | |
|
|
2009/10/26 17:21:54瀏覽1122|回應0|推薦0 | |
Security Roles security role 的主要目的為:釐清每位員工在資安環境裡應當扮演什麼樣的角色,讓員工們清楚地明瞭他/她們應該留意哪些事情與遵守哪些行為規範,進而實現資安政策所欲達成的目標。 Senior Manager 公司裡最在意公司資產是否受到適當的保護以及最終必需對資產減損或掏空等事件負起責任的人,謂之 senior manager。就資安政策的推行而言,senior manager 最重要的兩項工作,就是 sign off 與 endorsement;亦即任何攸關資安政策的議題、作業活動以及標準規範的訂定,都需要獲得 senior manager 的核可,並在相關的文件上完成正式的簽核 (sign off) 程序;此外,還要以實際的行動公開地為各項資安活動背書 (endorsement)。 Security Professional 熟知網路協定與軟硬體規格、對資安概念有全盤性的理解、瞭解資安的各種防護技術、能夠像駭客一樣地思考、幫助 senior manager 建立資安政策與標準、執行 senior manager 所下達的命令的專業達人。 Data Owner 負責對資料做分類並給定機密等級的人,這些人通常是 high-level manager。 Data Custodian high-level manager 通常會把機密資訊或文件交給下屬保管,這些下屬就是 data custodian。data custodian 的主要任務為:一、防止該項資料遭到不當存取或修改;二、keept it in good condition;例如定期地做資料備份、為資料加密、定期地驗證資料的真實性、可信度、一致性與完整性等等。 User 需要使用到公司資料的人,就稱為 user。 Auditor 負責測試與檢驗「資安政策是否適當地、正確地被執行」的人,就稱為 auditor。一般而言,稽核人員會根據檢查的結果,撰寫 compliance report 與 effectiveness report,並將這些 report 呈交給 senior manager 覽閱;之後,senior manager 可根據檢閱的結果,下達新的政策或指令,交由 security professional、data custodian 或相關的部會去執行。 |
|
( 創作|其他 ) |