信息安全手册之网络安全角色指南

首席信息安全官

所需的技能和经验

首席信息安全官（CISO）的角色需要技术和软技能的结合，例如商业头脑，领导力，沟通和关系建立。此外，首席信息安全官必须采用持续的学习和技能提升方法，以保持与网络威胁形势和新技术的同步。预计CISO在为其组织构思和交付网络安全战略方面表现出创新和想象力。

提供网络安全领导和指导

为了在组织内部提供网络安全领导和指导，每个组织任命一名CISO非常重要。CISO被任命为其组织提供网络安全领导和指导。

监督网络安全计划

组织内的首席信息安全官负责监督其组织的网络安全计划，并确保遵守网络安全政策，标准，法规和立法。他们可能会与组织内的首席安全官，首席信息官和其他高级管理人员合作。

首席信息安全官监督其组织的网络安全计划，并确保其组织遵守网络安全政策，标准，法规和立法。

首席信息安全官定期审查和更新其组织的网络安全计划，以确保其在应对网络威胁和利用业务和网络安全机会方面的相关性。

CISO为其组织实施网络安全衡量指标和关键绩效指标。

协调网络安全

首席信息安全官负责确保其组织内网络安全和业务目标的一致性。为了实现这一目标，他们应该促进网络安全和业务利益相关者之间的沟通。这包括将网络安全概念和语言转换为业务概念和语言，以及确保业务团队在规划新业务项目时咨询网络安全团队以确定适当的安全控制措施。此外，由于首席信息安全官负责制定其组织的网络安全计划，因此他们最适合就组织内网络安全的战略方向向项目提供建议。

CISO通过网络安全指导委员会或咨询委员会协调网络安全和业务协调，该委员会由关键的网络安全和业务主管组成，该委员会定期正式举行会议。

CISO协调网络安全和业务团队之间的安全风险管理活动。

网络安全报告

首席信息安全官负责向其组织的高级管理人员和/或董事会报告网络安全事项。报告应涵盖：

1. 组织的安全风险状况

2. 关键系统的状态和任何未解决的安全风险

3. 任何计划的网络安全提升活动

4. 任何最近的网络安全事件

5. 网络安全投资的预期回报。

有关网络安全事项的报告应按业务职能、地区或法人实体进行组织，并支持对组织安全风险的综合视图。

重要的是，CISO能够将安全风险转化为其组织的运营风险，包括财务和法律风险，以便能够就其组织的风险进行更全面的对话。

CISO直接向其组织的高级管理人员和/或董事会报告网络安全事项。

监督事件响应活动

为了确保CISO能够准确地向其组织的高级管理人员和/或董事会报告网络安全事项，重要的是他们充分了解其组织内的所有网络安全事件。

首席信息安全官还负责监督其组织对网络安全事件的响应，包括内部团队在事件期间如何响应和相互沟通。在发生重大网络安全事件时，CISO应准备好进入危机管理角色。他们应该了解如何澄清情况，并与内部和外部利益相关者进行有效沟通。

CISO充分了解其组织内的所有网络安全事件。

CISO 监督其组织对网络安全事件的响应。

有助于业务连续性和灾难恢复规划

首席信息安全官负责制定和维护其组织的业务连续性和灾难恢复计划，旨在提高业务弹性并确保关键业务流程的持续运行。

CISO有助于为其组织制定和维护业务连续性和灾难恢复计划，以确保在发生灾难时适当支持关键业务服务。

制定网络安全通信策略

为了促进整个组织的网络安全文化变革，CISO应该通过不断传达他们的战略和愿景来充当思想领袖。沟通策略有助于实现这一目标。沟通应针对组织的不同部分进行定制，并针对目标受众进行主题化。

CISO为其组织制定和维护网络安全通信策略。

与供应商和服务提供商合作

CISO 负责确保在整个组织中（从发现到持续管理）应用一致的供应商管理流程。由于供应商和服务提供商的关系会带来额外的安全风险，CISO应协助人员评估网络供应链风险，并了解与供应商和服务提供商签订合同的安全影响。

首席信息安全官监督其组织的网络供应链风险管理活动。

接收和管理专用的网络安全预算

接收和管理专用的网络安全预算将确保CISO有足够的资金来支持其网络安全计划，包括网络安全提升活动和响应网络安全事件。

首席信息安全官为其组织接收和管理专用的网络安全预算。

监督网络安全人员

首席信息安全官负责其组织内的网络安全人员，包括吸引、培训和留住网络安全人员的计划。首席信息安全官还应根据需要将相关任务委托给网络安全管理人员和其他人员，并为他们提供足够的权力和资源来履行职责。

CISO监督其组织内网络安全人员的管理。

监督网络安全意识的提高

为确保人员积极促进其组织的安全文化，应制定网络安全意识培训计划。由于CISO负责其组织内的网络安全，因此他们应该监督网络安全意识培训计划的制定和运营。

首席信息安全官监督其组织的网络安全意识培训计划的开发和运营。

系统所有者

系统所有权和监督

系统所有者负责确保其系统的安全运行;但是，系统所有者可以将其系统的日常管理和操作委派给系统管理员。

每个系统都有一个指定的系统所有者。

系统所有者向其授权官注册每个系统。

保护系统及其资源

从广义上讲，《信息安全手册》使用的风险管理框架有六个步骤：定义系统，选择安全控制，实施安全控制，评估安全控制，授权系统和监控系统。系统所有者负责为其每个系统实施此六步风险管理框架。

系统所有者根据对系统受到损害的影响的评估来确定每个系统的类型、价值和安全目标。

系统所有者为每个系统选择安全控制，并对其进行定制以实现所需的安全目标。

系统所有者为每个系统及其操作环境实施安全控制。

系统所有者确保对每个系统及其操作环境的安全控制进行评估，以确定它们是否已正确实施并按预期运行。

系统所有者根据接受与其操作相关的安全风险，从其授权人员处获得操作每个系统的授权。

系统所有者持续监控每个系统以及相关的网络威胁、安全风险和安全控制。

系统安全状态的年度报告

系统所有者向其授权人员报告其系统的安全状态可以帮助授权人员保持对其组织内系统安全状况的意识。

系统所有者至少每年向其授权人员报告每个系统的安全状态。

关注公众号

回复“220325”获取机翻版“2022年X-Force威胁情报指数”PDF版

回复“220213”获取“小型企业网络安全指南”PDF版

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。