職責分離原則是控制內部狀況的關鍵問題。職責分離原則是這樣來實現的，通過分配不同的任務給不同職位的人以及在多個人間針對某個特定的安全操作過程分配相關的特權。

職責分離原則(SoD)這一方式被廣泛地應用于財務會計系統中。各種不同規模大小的公司都十分清楚不能將各種不同的職責合并的重要性，例如在財務系統中這些不同的職責就包括接收支票(賬戶付款)、批準注銷、存取現金以及核實銀行報表、審批時間卡和保管好發票等。

當人們在處理和金錢相關的事務時有一條常用的準則，那就是使用職責分離原則，這樣金錢欺詐行為就需要攻破兩個或多個防線才能實現。使用職責分離原則能夠大大降低犯罪的可能性，所以說，我們在解決信息安全問題時，也應該借鑒這種方法。公司組織很有必采用職責分離原則，這樣就沒有人能夠憑借個人力量就能實行安全管制，而是需要在多人共同行使職權的時候才能實現。

職責分離原則對于IT產業來說還十分新鮮，但是在薩班斯-奧克斯利法案中來自IT行業或者與IT行業相關的內部控制問題里面，有相當大部分是關于IT 行業中的職責分離問題，這個問題并不讓人感到奇怪。職責分離原則是很多監管政策(如薩班斯法案和Gramm-Leach-Bliley法案)的一項根本的原則，因此，IT公司組織現在應該更多的提高對職責分離的重視，對所有的IT職責功能實行職責分離，尤其是安全部門。

我們這里說到的職責分離是與安全問題相關的，它主要有兩個目的。首先第一個目的是防止利益沖突，防止利益沖突的出現，防止不法行為、欺詐、濫用職權以及錯誤等。第二個目標是檢測失敗操控，這包括安全漏洞、信息盜竊和安全管制規避。(安全管制是為了保障信息系統免受因為電腦系統、網絡以及他們使用的數據的保密性、完整性以及可用性導致的攻擊而采取的措施)

職責分離原則能夠限制權力的大小或者個人的行使權力大小，這條原則同樣可以確保人們不會因為職責問題而發生沖突或者不能及時對他們自身的問題或者上級的問題提交報告。

對于職責分離原則，這里有一個簡單的測試。首先，看看是不是有人能夠在不被檢測的情況下更改或者破壞你的財務數據;再看看是不是有人能夠偷竊或者泄露關鍵信息;最后，看看是否某一個人擁有控制設計與實施以及報告管制的有效性等權力。如果這些問題的答案都是肯定的，那么你就有必要認真考慮職責分離原則了。

負責設計和實施安全職責問題的人不應該與負責測試安全、實行安全審計或者監測報告安全職責問題的人是同一個人。因此，負責信息安全的個人不應該向首席信息官報告安全問題，而是另外的人來負責報告。

這里有五種選擇以幫助我們實現職責分離，這份清單的順序是根據我的經驗來排列的。

選項1: 讓負責信息安全的人向首席安全官(負責信息和物理安全)報告安全問題，讓首席安全官直接向首席信息官報告

選項2: 讓負責信息安全的人向審計委員會的主席報告.

選項3: 使用第三方來監測安全問題、執行突擊安全審計以及進行安全測試，并且讓他們向董事會的董事或者報告審計委員會的主席

選項4: 讓負責信息安全的人向董事會報告.

選項5: 當內部審計沒有向負責財務的執行負責人報告時，讓負責信息安全的人向內部審計報告.

職責分離原則發揮著越來越重要的作用。如果對于首席安全官和首席信息安全官的職責沒有明確和清楚的分工，將造成安全系統的混亂。我們有必要將開發、運行和安全測試以及所有管制操作進行職責分離。所有的職責都必須分配給個人，這樣就能建立系統內的制衡制度，病能減少未經授權訪問和欺詐行為發生的機率。

請記住，有關職責分離的控制技術問題都需要經過外聘審計師的審查。在過去當審計師認為安全風險很大時，他們會將職責分離作為審計報告中的物質缺乏來處理。當然職責分離要在IT安全充分發揮其作用還將花費一段時間，那么為什么現在不去和你的外聘安全審計師討論一下職責分離問題呢?他們的意見能夠為你節省很大一部分開支和政治內訌。