Management,管理
管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动
governance,治理
治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和
管理强调的是一个过程活动,而治理强调的是为了达到同一目标,多方面的协调
安全策略是战略目标,标准、基线、指南、详细措施是战术目标
高级管理者
组织的所有者的角色被分配给最终负责组织机构安全维护和最关心保护资产的人
制定长远规划、业务目标和目的
确保组织在信息安全方面采取适当的应尽关注和应尽职责
安全专家
安全专家、信息安全官或计算机应急响应团队以上角色被分配给受过培训和经验丰富的网络
工程师、系统工程师和安全工程师,对落实高层管理部门下达的指示负责
安全专家不是决策制定者,只是实现者
数据所有者
被分配给在安全解决方案中为了放置和保护信息而负责对信息进行分类的人
通常,数据所有者是层次较高的、最终负责数据保护的管理者
一般会将实际管理数据的任务委派给数据管理员
数据所有者具有应尽关注职责,决定其负责的数据分类,负责确保实施必要的安全控制
数据管理员
被分配给负责实施安全策略和上层管理者规定的保护任务的用户
数据管理员通过执行所有必要的措施为数据提供适当的CIA保护,并完成上层管理者委派的
要求和责任
用户
被分配给具有安全系统访问权限的任何人(最小特权原则)
审计人员
负责测试和认证安全策略是否被正确实现以及衍生的安全解决方案是否合适