首席信息安全官
职责范围
组织内的首席信息安全官 (CISO) 的职责应扩展到信息技术和运营技术。然而,在适当且可行的情况下,运营技术网络安全的责任可由 CISO 委托。
在本节中,信息技术和运营技术的职责范围在网络安全的旗帜下统称。
所需技能和经验
CISO的角色需要兼具技术技能和软技能,例如商业敏锐度、领导能力、沟通能力和关系建立能力。此外,CISO必须采取持续学习和提升技能的方法,以跟上网络威胁形势和新技术的步伐。CISO应在为其组织构思和实施网络安全战略时展现创新和想象力。
提供网络安全领导和指导
为了在组织内提供网络安全领导和指导(针对信息技术和运营技术),组织任命一名CISO非常重要。
任命CISO为其组织提供网络安全领导和指导(涵盖信息技术和运营技术)。
监督网络安全计划
组织内的CISO负责监督组织的网络安全计划,并确保遵守网络安全政策、标准、法规和法律。他们可能与组织内的首席安全官、首席信息官和其他高级管理人员合作。
CISO负责监督其组织的网络安全计划,并确保其组织遵守网络安全政策、标准、法规和法律。
CISO定期审查和更新其组织的网络安全计划,以确保其在应对网络威胁和利用商业和网络安全机会方面的相关性。
CISO为其组织实施网络安全测量指标和关键绩效指标。
协调网络安全
CISO负责确保其组织内的网络安全与业务目标保持一致。为此,他们应促进网络安全与业务利益相关者之间的沟通。这包括将网络安全概念和语言转化为业务概念和语言,以及确保业务团队在规划新业务项目时与网络安全团队协商以确定适当的控制措施。此外,由于CISO负责其组织网络安全计划的开发,因此他们最适合就其组织内网络安全的战略方向为项目提供建议。
CISO通过网络安全指导委员会或咨询委员会协调网络安全和业务协调,该委员会由关键的网络安全和业务主管组成,定期举行正式会议。
CISO协调网络安全和业务团队之间的安全风险管理活动。
网络安全报告
CISO负责向其组织的执行委员会或董事会以及其组织的审计、风险和合规委员会(或同等机构)报告网络安全事宜。在这样做时,重要的是报告应由 CISO直接进行,而不是通过其组织内的其他高级管理人员进行。这可确保报告保持准确且不存在任何利益冲突。
报告应涵盖:
-
该组织的安全风险状况
-
关键系统的状态和任何未解决的安全风险
-
任何计划的网络安全提升活动
-
最近发生过哪些网络安全事件
-
网络安全投资的预期回报。
网络安全问题报告应按业务职能、地区或法人实体进行构建,并支持对组织安全风险的综合看法。
重要的是,CISO 能够将安全风险转化为其组织的运营风险,包括财务和法律风险,以便能够更全面地讨论其组织的风险。
CISO 定期向其组织的执行委员会或董事会直接报告网络安全事宜。
CISO 定期向其组织的审计、风险与合规委员会(或同等机构)直接报告网络安全事宜。
监督网络安全事件响应活动
为了确保 CISO 能够准确地向其组织的执行委员会或董事会报告网络安全问题,他们必须充分了解其组织内的所有网络安全事件。
CISO 还负责监督其组织对网络安全事件的响应,包括内部团队在网络安全事件期间如何响应和相互沟通。如果发生重大网络安全事件,CISO 应准备好承担危机管理角色。他们应该了解如何澄清情况并与内部和外部利益相关者进行有效沟通。
CISO 完全了解其组织内的所有网络安全事件。
CISO 负责监督其组织对网络安全事件的响应。
促进业务连续性和灾难恢复规划
CISO 负责制定、实施和维护其组织的业务连续性和灾难恢复计划,旨在提高业务弹性并确保关键业务流程的持续运行。
CISO 负责制定、实施和维护其组织的业务连续性和灾难恢复计划,以确保在发生灾难时对业务关键服务进行适当的支持。
传达网络安全愿景和战略
为了帮助促进组织内部、组织网络供应链和组织客户之间的网络安全文化变革和意识,CISO 应充当网络安全领导者,并不断传达组织的网络安全愿景和战略。在此过程中,网络安全沟通策略有助于实现这一结果。作为其中的一部分,沟通风格和内容应针对不同的目标受众进行量身定制。
CISO 负责监督网络安全通信策略的制定、实施和维护,以协助传达其组织的网络安全愿景和策略。
与供应商合作
CISO 负责确保整个组织采用一致的供应商管理流程,从发现到持续管理。由于供应商关系会带来额外的安全风险,CISO 应协助人员评估网络供应链风险,并了解与供应商签订合同的安全影响。
CISO 负责监督其组织的网络供应链风险管理活动。
接收和管理专用的网络安全预算
接收和管理专用的网络安全预算将确保 CISO 有足够的资金来支持其网络安全计划,包括网络安全提升活动和应对网络安全事件。
CISO 为其组织接收并管理专用的网络安全预算。
监督网络安全人员
CISO 负责组织内的网络安全队伍建设,包括制定吸引、培训和留住网络安全人员的计划。CISO 还应根据需要将相关任务委派给网络安全经理和其他人员,并为他们提供足够的权力和资源以履行职责。
CISO 负责监督其组织内网络安全人员的管理。
监督网络安全意识的提高
为了确保员工积极为组织的安全文化做出贡献,应制定、实施和维护网络安全意识培训计划。由于 CISO 负责组织内的网络安全,因此他们应监督网络安全意识培训计划的制定、实施和维护。
CISO 负责监督其组织的网络安全意识培训计划的开发、实施和维护。
更多信息
关于如何应对网络安全事件的更多信息,请参阅《网络安全事件指南》中的“管理网络安全事件”部分。
关于网络安全战略制定的更多信息,可以在《安全文档指南》的安全文档开发和维护部分中找到。
有关网络供应链风险管理的更多信息,请参阅《采购和外包指南》的网络供应链风险管理部分。
有关外包服务采购的更多信息,请参阅《采购和外包指南》的托管服务和云服务部分。
有关网络安全意识培训计划的更多信息,请参阅《人员安全指南》的网络安全意识培训部分。
系统所有者
系统所有权和监督
系统所有者有责任确保其系统的安全运行。但是,系统所有者可以将其系统的日常管理和运行委托给系统管理员。
每个系统都有指定的系统所有者。
系统所有者向授权官员注册每个系统。
保护系统及其资源
广义上, 《信息安全手册》使用的风险管理框架有六个步骤:定义系统、选择控制措施、实施控制措施、评估控制措施、授权系统和监控系统。系统所有者负责为每个系统实施这个六步风险管理框架。
系统所有者根据对系统受到损害时的影响的评估来确定每个系统的类型、价值和安全目标。
系统所有者为每个系统选择控制并对其进行定制以实现所需的安全目标。
系统所有者对每个系统及其操作环境实施控制。
系统所有者确保评估每个系统及其操作环境的控制,以确定它们是否已正确实施并按预期运行。
系统所有者根据对与其操作相关的安全风险的接受程度,从其授权官员处获得操作每个系统的授权。
系统所有者持续监控每个系统以及相关的网络威胁、安全风险和控制。
系统安全状况年度报告
系统所有者每年向授权官员报告其系统的安全状况,可以帮助授权官员了解其组织内系统的安全态势。
系统所有者至少每年向授权官员报告每个系统的安全状态。
原文始发于微信公众号(祺印说信安):信息安全手册:网络安全角色指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论