跳转到主要内容

CISO

5星评论
没有投票
Last modified
星期六, 一月 1, 2022 - 15:47

什么是CISO?什么是首席信息安全官

首席信息安全官(CISO)是组织内负责制定和维护企业愿景、战略和计划以确保信息资产和技术得到充分保护的高级管理人员。CISO指导员工识别、开发、实施和维护整个企业的流程,以降低信息和信息技术(IT)风险。他们应对事件,建立适当的标准和控制,管理安全技术,并指导政策和程序的制定和实施。CISO通常还负责与信息相关的合规性(例如,监督实施,以实现实体或其一部分的ISO/IEC 27001认证)。CISO还负责保护公司的专有信息和资产,包括客户和消费者的数据。CISO与其他高管合作,确保公司以负责任和道德的方式发展。

通常,CISO的影响波及整个组织。责任可能包括但不限于:

  • 计算机应急响应小组/计算机安全事件响应小组
  • 网络安全
  • 灾难恢复和业务连续性管理
  • 身份和访问管理
  • 信息隐私
  • 信息法规遵从性(例如,美国PCI DSS、FISMA、GLBA、HIPAA;1998年英国数据保护法;加拿大PIPEDA、欧洲GDPR)
  • 信息风险管理
  • 信息安全与信息保障
  • 信息安全运营中心(ISOC)
  • 金融和其他系统的信息技术控制
  • IT调查、数字取证、eDiscovery

在组织中拥有CISO或同等职能已成为企业、政府和非营利组织的标准做法。到2009年,大约85%的大型组织有一名安全主管,高于2008年的56%和2006年的43%。2018年,CIO、CSO和普华永道联合开展的《2018年全球信息安全状况调查》(GSISS)[1][2]得出结论,85%的企业拥有CISO或同等资质。CISO的作用已扩大到涵盖业务流程、信息安全、客户隐私等方面的风险。因此,现在的趋势是不再在IT组中嵌入CISO功能。2019年,只有24%的CISO向首席信息官(CIO)报告,40%直接向首席执行官(CEO)报告,27%绕过首席执行官向董事会报告。将CISO职能嵌入首席信息官的报告结构下被认为是次优的,因为存在利益冲突的可能性,并且该角色的责任超出了IT团队的责任性质。

在企业中,CISO的趋势是在商业敏锐性和技术知识之间保持强有力的平衡。CISO通常需求量很大,薪酬与其他同样拥有类似公司头衔的C级职位相当。

典型的CISO持有非技术认证(如CISSP和CISM),尽管具有技术背景的CISO将拥有扩展的技术技能。其他典型培训包括管理信息安全计划的项目管理、管理信息安全预算的财务管理(如持有经认证的MBA)以及指导信息安全经理、信息安全总监、安全分析师等不同团队的软技能,安全工程师和技术风险经理。最近,由于CISO涉及隐私问题,对CIPP等认证的要求很高。

这一领域的最新发展是“虚拟”CISO(vCISO,也称为“分数CISO”)的出现。[3] 这些CISO在共享或部分的基础上工作,适用于规模可能不足以支持全职执行CISO的组织,或者出于各种原因,可能希望有一名专门的外部执行官履行此职责的组织。vCISOs通常执行与传统CISO类似的功能,并且在通常使用传统CISO的公司正在寻找替代者时,也可能充当“临时”CISO。[4] vCISOs可以支持组织的关键领域包括:

  • 就各种形式的网络风险提供建议并制定解决方案
  • 董事会、管理团队和安全团队辅导
  • 供应商产品和服务评估与选择
  • 成熟度建模运营和工程团队流程、能力和技能
  • 董事会和管理团队简报和更新
  • 运营和资本预算规划和审查

原文:https://en.wikipedia.org/wiki/Chief_information_security_officer

 

Article

标签(Tags)

企业架构(35) 数据分析(35) Power BI(32) 微服务(31) 微服务架构(30) Data Analysis(30) 商务智能(30) BI(30) 认证考试(30) 微软认证(30) DA-100(28) 应用安全(27) 考试题(26) 物联网(25) 敏捷(25) Enterprise Architecture(24) 试题(20) 首席架构师(19) 首席架构师推荐(19) 云计算(19) 网络安全(18) 技术架构(17) 机器学习(17) 试卷(17) SAFe(16) 大数据(15) Kafka(15) 规模化敏捷(14) enterprise security architecture(14) 企业安全架构(14) 前端架构(14) microservice(13) 业务架构(13) 数据架构(13) IOT(13) 安全运营(13) 容器云(12) 敏捷建模(12) 服务网格(12) 数据分析师(12) 事件驱动架构(12) 区块链(12) 数据安全(12) 数据湖(11) 应用架构(10) AWS(10) 数据科学(10) 人工智能(10) Kubernetes(10) 产品管理(9) BI数据分析师(9) NGINX(9) 数字化转型(9) 深度学习(9) 软件架构(9) 架构师(9) machine learning(9) 商务智能分析师(8) CIO(8) 技术选型(8) 安全战略(8) 软件测试(8) ArchiMate(8) PostgreSQL(8) Azure(8) Cloud Computing(8) Big Data(8) API(8) MSA(8) MDM(8) 技术趋势(7) 容器云架构(7) 核心实践(7) 无服务器架构(7) JavaScript框架(7) Vue(7) React(7) 参考架构(7) DevOps(7) 数据仓库(7) Data Lake(7) Envoy architecture(7) 容器(7) 主数据架构(7) microservices(7) 技术架构师(7) digital transformation(7) 投资组合管理(6) 安全架构(6) 集成架构(6) 合同测试(6) 工控协议(6) ICS(6) Micro Service Architecture(6) Envoy架构(6) 事件驱动(6) 数字化(6) 微服务架构师(6) strategy(6) 安全工具(6) application security principle(6) Angular(6) Postgresql架构(6) 网络架构(6) agilemodeling(6) 首席架构师精选(6) 高管洞察与创新(6) 云安全(6) 合约测试(5) Event Hub(5) 应用安全原则(5) Enterprise Portfolio Management(5) WAF(5) 编程语言(5) JavaScript Frameworks(5) 用户体验(5) 云原生(5) Agile(5) Python(5) IT战略(5) 企业敏捷性(5) 数字化业务(5) API Gateway(5) 项目管理(5) Digital business(5) 工业控制系统(5) Microservice Architecture(5) ICP(5) 软件架构师(5) 数据挖掘(5) Data Architecture(5) 主数据管理(5) 性能(5) Architecture Overview(5) Best Practices(5) Data Warehouse(5) k8s(5) 战略(5) IoT(5) 解决方案(5) 工业物联网(5) 数据科学家(5) 敏捷数据(4) 领导力(4) IPS(4) 领域驱动设计(4) DDD(4) 性能调优(4) 微前端(4) Vue.js(4) Docker(4) 敏捷核心实践(4) 应用组合管理(4) Agile Core Practice(4) 程序员(4) 数据可视化(4) 前端开发(4) 前端架构师(4) 前端开发工程师(4) 容器云架构师(4) 职业发展(4) executive insights and innovation(4) enterprise agility(4) 数据湖架构师(4) 开源合规(4) 敏捷模型(4) 业务转型(4) 企业微服务架构(4) 消费者驱动的合同测试(4) JWT(4) security(4) 企业架构师(4) architecture(4) 应用架构师(4) blockchain(4) 存储架构(4) GDPR(4) Cloud(4) RESTful(4) 最佳实践(4) 分布式计算(4) 数据湖架构(4) Service Mesh(4) BDD(4) 解决方案架构师(4) Event-Driven(4) SCADA(4) 云原生架构(4) 去中心化(4) IoT(4) IoT(4) Deep Learning(4) EA(3) technology(3) NFR(3) 安全(3) 应用现代化(3) Big Data(3) Spark(3) Microservice(3)