負責資訊安全的IT專業人員必須具備從網絡和應用程序設計到採購和人力資源都要有一定的經驗，典型的需要具備的能力包括：

• 參與風險評估和安全系統測試，並提出建議。
• 採購、安裝和配置安全設備和軟體。
• 設置和維護文件訪問控制和使用者權限設定檔。
• 監控使用日誌、審查使用者權限，並記錄訪問控制。
• 管理與安全相關的事件響應和報告。
• 創建並測試災害恢復計劃和程序。
• 參與安全培訓和教育計劃。

資訊安全角色和責任

安全政策是一個定義了組織內部如何實施安全的方式。它描述了組織將採取的手段，以保護敏感數據和資源的保密性、可用性和完整性。它通常由多個政策組成。實施安全政策以支持CIA三重性目標的目標在學校、跨國會計公司或機床製造商可能非常不同。然而，每個組織，或者是任何其他組織（無論是盈利還是非盈利經濟的任何行業），都應該具有相關專業知識，確保其員工、設備和數據免受攻擊或損害。而員工必須了解他們的責任。以下角色是常見的幾個角色和對應的責任或義務：

• 整體內部安全責任可能分配給一個專門的部門，由安全總監、首席安全官（CSO）或首席信息安全官（CISO）負責。安全責任也可能分配給現有的業務部門，如信息和通信技術（ICT）或會計。然而，網絡管理者的目標並不總是與安全的目標完全一致；網絡管理強調可用性而不是保密性。因此，安全越來越被認為是一個專門的功能或業務部門，具有自己的管理結構。
• 管理者可能對一個領域負責，比如建築控制、ICT或會計。
• 技術和專家人員負責實施、維護和監控政策。安全可能被視為系統和網絡管理員的核心能力，或者可能有專門的安全管理員。一個這樣的職位稱為信息系統安全官（ISSO）。
• 非技術人員有責任遵守政策和任何相關的法規。
• 對於安全的外部責任（注意義務或責任）主要歸於董事或所有者，儘管再次重要的是要注意，所有員工都分擔一定程度的責任。

資訊安全業務部門

以下單位常用於代表組織層次結構中的安全功能。

• 安全運營中心（SOC）
  安全運營中心（SOC）是安全專業人員監控和保護關鍵信息資產的地方，跨足財務、運營、銷售/營銷等其他業務功能。由於建立、維護和融資SOC可能會很困難，因此它們通常由大型企業雇用，比如政府機構或醫療保健公司。
• DevSecOps
  網絡運營和使用雲計算越來

越多地使用軟件代碼自動化。傳統上，軟件代碼將由編程或開發團隊負責。獨立的開發和運營部門或團隊可能會導致信息孤立，其中每個團隊不會有效地與其他團隊合作。
開發和運營（DevOps）是組織內部的文化轉變，鼓勵開發人員和系統管理員之間更多的合作。通過創建高度協同的環境，IT人員和開發人員可以更快、更可靠地構建、測試和發布軟件。許多人認為，DevOps方法是組織充分利用雲服務提供商提供的潛在好處的唯一途徑。
DevSecOps擴展到安全專家和人員，反映了安全是軟件開發和部署的每個階段的主要考慮因素。這也被稱為“向左移”，意味著安全考慮因素需要在需求和計劃階段進行，而不是最後添加。DevSecOps的原則承認這一點，並表明安全專業知識必須嵌入到任何開發項目中。與此相關的是，安全操作可以被視為軟件開發項目。安全工具可以通過代碼自動化。因此，安全操作需要引入開發人員專業知識以改善檢測和監控。

• 事件響應
  專用的網絡事件響應團隊（CIRT）/計算機安全事件響應團隊（CSIRT）/計算機緊急響應團隊（CERT）作為安全事件通報的單一聯繫點。這一功能可能由SOC處理，也可能建立為獨立的業務部門。