了解IISP

今年二月，信息安全专家协会（IISP）正式成立，其目标有三个方面，即：为业内提供了个值得信赖的机构、支持信息安全专业化发展、表达各个信息安全部门的共同心声。

Lisa Kelly说，信息安全领域又成立了一个新的机构，它能够为各部门带来结构性的变化。

今年二月，信息安全专家协会（Institute of Information Security Professionals，IISP）正式成立，它的成立使得安全领域的专业化水平达到了一个新的高度。业内人士希望这个机构能够帮助首席信息官们（CIOs）在招募信息安全专业人员、创 建安全系统和满足审计人员需求等方面建立更大的信心。这些希望并不是一朝一夕就能够实现的，IISP还处在发展初期，但是，安全领域的许多知名人士都对IISP给予了支持，并 预言它的发展前景光明。

IISP的目标有三个方面，即：为业内提供了个值得信赖的机构、支持信息安全专业化发展、表达各个信息安全部门的共同心声。IISP现已拥有很多成员，其中包括金融机构UBS、苏 格兰皇家银行和HBOS等，这说明了信息安全领域对IISP这一机构迫切需要程度。IISP的会员资格水平分为三个等级，它还能够为这些成员提供操作密码和培训。在最近政府对IT安 全进行的一项调查中显示，在英国公司中从业的信息安全专业人员的知识水平差异巨大。

两年一次的贸易工业部信息安全问题调查在2006年继续进行，调查显示，只有一半的已获得上岗资格的信息安全人员知道BS 7799安全标准的内容，并了解现在的ISO/IEC 17799 和 ISO/IEC 27001安全标准。此外，只有十分之一的英国公司聘用了有资格的信息安全人员。

Chris Potter是这项调查实施者Pricewaterhouse Coopers的合作伙伴，他认为，调查结果进一步说明了信息安全专业人员的缺乏和寻找技术员工的现实困难。Potter说，很多所谓的有资格的专业人员不懂得最基本的安全标准内容 ，这一事实也说明了安全标准的模糊不清。IISP能够在创建统一标准方面发挥重要的作用。

Standard Chartered Bank信息安全部门负责人John Meakin博士是IISP忠实支持者，他说，企业领导者们所寻求的正是IISP所提供的关于严格的和共性的东西。现在，为了完成某项工作组成的工作小组其成员来自不同的部门，有的 是技术部门来的，有的是非技术部门来的。而作为完成特定任务的专业小组，它的人员混杂，通常不利于完成任务。

UBS原首席安全官Paul Wood也持有相同的观点。他认为，信息安全专业人员有很多种不同的类型，其中很多人是通过自修课程来学习专业化知识的，企业并没有从整体的角度去考虑提高信息安全人员的 专业化水平。

Meakin相信，IISP的建立必然会对信息安全专业化带来一个结构性的变化，并将其提升至一个新的高度。他说，IISP的成立是非常及时的，它是一个值得信赖的机构，通过它专业 人员可以提高职业道德和业务技能。而且，Meakin还认为，IISP能够增强企业董事会在内部信息安全方面的信心。当一个公司的董事长签属一份帐务报表时，他一定希望报表上所 显示的信息是正确无误的。现在，当公司的信息安全专业人员向公司上层报告某些事情确系事实的时候，这些领导者都需要看着他们的眼睛以辨别其所言的真实性。

Wood也特别重视选用人才的问题。他提出一个问题：当一些应聘者来参加面试的时候，我怎样才能确定他们曾经做过哪些事情？IISP将能够帮助企业了解应聘者的以往经历和知识 水平，并对比所掌握的情况与应聘者自己陈述的情况是否相符。

在谈到一位信息安全专业人员应该扮演的角色时，Meakin指出，他们应当成为一名安全顾问，依靠IISP的支持可以使信息安全专业人员能够帮助企业鉴别管理的可靠性问题。他还 说，一些技术支持的解决安全问题的方案正在被商品化。比如：微软公司正在将更多的安全性能融入它的核心产品中，这也就意味着安全专业人员的角色正在发生着转变，他们从 一名安全问题解决人员逐渐成为一名拥有更多管理责任的、能够及时发现运行安全隐患的管理人员。Meakin说，随着ESP提高安全专家们的专业化水平，信息安全人员能够能够对他 们的专业化水平更加自信。我们完全有能力将利用安全技术来发现运行风险。