今年二月，信息安全专家协会（IISP）正式成立，其目标有三个方面，即：为业内提供了个值得信赖的机构、支持信息安全专业化发展、表达各个信息安全部门的共同心声。

Lisa Kelly说，信息安全领域又成立了一个新的机构，它能够为各部门带来结构性的变化。

今年二月，信息安全专家协会（Institute of Information Security Professionals，IISP）正式成立，它的成立使得安全领域的专业化水平达到了一个新的高度。业内人士希望这个机构能够帮助首席信息官们（CIOs）在招募信息安全专业人员、创 建安全系统和满足审计人员需求等方面建立更大的信心。这些希望并不是一朝一夕就能够实现的，IISP还处在发展初期，但是，安全领域的许多知名人士都对IISP给予了支持，并 预言它的发展前景光明。

IISP的目标有三个方面，即：为业内提供了个值得信赖的机构、支持信息安全专业化发展、表达各个信息安全部门的共同心声。IISP现已拥有很多成员，其中包括金融机构UBS、苏 格兰皇家银行和HBOS等，这说明了信息安全领域对IISP这一机构迫切需要程度。IISP的会员资格水平分为三个等级，它还能够为这些成员提供操作密码和培训。在最近政府对IT安 全进行的一项调查中显示，在英国公司中从业的信息安全专业人员的知识水平差异巨大。

两年一次的贸易工业部信息安全问题调查在2006年继续进行，调查显示，只有一半的已获得上岗资格的信息安全人员知道BS 7799安全标准的内容，并了解现在的ISO/IEC 17799 和 ISO/IEC 27001安全标准。此外，只有十分之一的英国公司聘用了有资格的信息安全人员。

Chris Potter是这项调查实施者Pricewaterhouse Coopers的合作伙伴，他认为，调查结果进一步说明了信息安全专业人员的缺乏和寻找技术员工的现实困难。Potter说，很多所谓的有资格的专业人员不懂得最基本的安全标准内容 ，这一事实也说明了安全标准的模糊不清。IISP能够在创建统一标准方面发挥重要的作用。

Standard Chartered Bank信息安全部门负责人John Meakin博士是IISP忠实支持者，他说，企业领导者们所寻求的正是IISP所提供的关于严格的和共性的东西。现在，为了完成某项工作组成的工作小组其成员来自不同的部门，有的 是技术部门来的，有的是非技术部门来的。而作为完成特定任务的专业小组，它的人员混杂，通常不利于完成任务。

UBS原首席安全官Paul Wood也持有相同的观点。他认为，信息安全专业人员有很多种不同的类型，其中很多人是通过自修课程来学习专业化知识的，企业并没有从整体的角度去考虑提高信息安全人员的 专业化水平。

Meakin相信，IISP的建立必然会对信息安全专业化带来一个结构性的变化，并将其提升至一个新的高度。他说，IISP的成立是非常及时的，它是一个值得信赖的机构，通过它专业 人员可以提高职业道德和业务技能。而且，Meakin还认为，IISP能够增强企业董事会在内部信息安全方面的信心。当一个公司的董事长签属一份帐务报表时，他一定希望报表上所 显示的信息是正确无误的。现在，当公司的信息安全专业人员向公司上层报告某些事情确系事实的时候，这些领导者都需要看着他们的眼睛以辨别其所言的真实性。

Wood也特别重视选用人才的问题。他提出一个问题：当一些应聘者来参加面试的时候，我怎样才能确定他们曾经做过哪些事情？IISP将能够帮助企业了解应聘者的以往经历和知识 水平，并对比所掌握的情况与应聘者自己陈述的情况是否相符。

在谈到一位信息安全专业人员应该扮演的角色时，Meakin指出，他们应当成为一名安全顾问，依靠IISP的支持可以使信息安全专业人员能够帮助企业鉴别管理的可靠性问题。他还 说，一些技术支持的解决安全问题的方案正在被商品化。比如：微软公司正在将更多的安全性能融入它的核心产品中，这也就意味着安全专业人员的角色正在发生着转变，他们从 一名安全问题解决人员逐渐成为一名拥有更多管理责任的、能够及时发现运行安全隐患的管理人员。Meakin说，随着ESP提高安全专家们的专业化水平，信息安全人员能够能够对他 们的专业化水平更加自信。我们完全有能力将利用安全技术来发现运行风险。

惠普实验室Trusted Systems Laboratory负责人Martin Sadler，也是ESP的董事会成员之一。他认为，由于现在越来越多的设备与网络连接，各个公司需要对安全问题给予特别的关注。很多人正在为安全问题的解决提供帮助，包括管理 者、策划者、咨询顾问、软件开发者、研究者和负责安全问题的专业机构等，但是，他们力量都被分散了。Sadler补充说，我们需要将这些人的努力联合起来共同为安全问题的解 决提供帮助，我们必须拥有一个更为统一的机构。

ESP将帮助各个企业通过分享出色的业务实践和如何防止组织犯罪的创新思维来实现信息的相互支持。

国家防止高技术犯罪部门正在成为严重组织犯罪局的一个组成部分，它的负责人之一Tony Neate对建立一个统一机构的做法非常地热衷。他说，我们需要可依赖的专家为互联网打造安全的环境，但是从相反的方面来说，我们又需要他们为刑事和民事案件提供证据。

IISP在某些方面还没有达到人们对它的预期，如：在英国本土以外的地方以强大的能力来强化安全标准和安全问题识别。

Meatin说，他希望看到IISP的成长。当国家医学会发现医生玩忽职守时，他们将被开除。ESP需要类似的权力来加强它的成员和专业人员的可靠性。如果我们希望在企业成长的道路 上获得有价值的专业化建议时，我们必须认清哪些是有益的、哪些是有害的，并将其区分开来。Meatin有一支由25名信息安全专业人员组成的核心小组，小组的成员并非全都在英 国工作。他说，他希望推动HSR的国际化进程，不能总是将目光局限在英国的公司。

BP的首席信息安全官Paul Dorey说，IISP的成立迎合了企业对信息安全知识、技能等方面的不断增长的需求。信息安全技术应该能够保护我们的系统。Dorey还认为，IISP将帮助安全问题专业人员处理有关 责任的问题，这一点在法律上也得到了加强。

为了保证信息安全顾问有能力完成法律的要求，Dorey认为IISP的监督计划将帮助人们提高自己的鉴别能力。你可以获得解决安全问题资格证明，但此证明只是对安全知识的掌握给 予了衡量，并没有检验对知识的运用能力。

Paul Wood在安全领域有30多年的工作经验，他还曾在政府部门担任多种与安全有关的职务。他担任的重要职务其中包括UBS的首席安全官、民航总局信息部门负责人、巴尔的摩技术公司 信息安全顾问等。

Wood说，ESP通过提高执行人员的专业化水平来使公司或产业受益，这是在执行人员之间进行信息共享的重要步骤。Wood意识到安全问题一直以来都是公司开会时重点讨论的问题， 他指出，关于安全问题的规章制度在不断的增多，政府对这个问题的重视程度也越来越高，这都意味着更好安全标准出台指日可待，这个标准将结合良好的控制和正确的政策。

Wood认为，信息安全管理人员对于公司是非常重要的人力资源，公司将更多地依靠他们进行有效的安全管理。安全是公司发展的驱动力和成功的根本保证。IISP的培训计划将为此 目的对成员的员工进行正确的技术培训。

Wood对IISP有能力推出信息安全专业发展项目，并为信息安全员工提供不断的培训是非常有信心的。所以，UBS以每年6000英磅的会费加入IISP。

Wood说：“我想让我所有的信息安全专业人员都能够从获得指导、同行评论和经验分享中受益。IISP将为IT领导者提供他们想要的东西，并为他们提供咨询和帮助。”

Paul Wood于4月9日离开UBS加入Aviva Group，作为集团的商业安全部门主管。

（责任编辑:张竺）