跳转到主要内容
SEO Title
ciso

什么是CISO?什么是首席信息安全官

首席信息安全官(CISO)是组织内负责制定和维护企业愿景、战略和计划以确保信息资产和技术得到充分保护的高级管理人员。CISO指导员工识别、开发、实施和维护整个企业的流程,以降低信息和信息技术(IT)风险。他们应对事件,建立适当的标准和控制,管理安全技术,并指导政策和程序的制定和实施。CISO通常还负责与信息相关的合规性(例如,监督实施,以实现实体或其一部分的ISO/IEC 27001认证)。CISO还负责保护公司的专有信息和资产,包括客户和消费者的数据。CISO与其他高管合作,确保公司以负责任和道德的方式发展。

通常,CISO的影响波及整个组织。责任可能包括但不限于:

  • 计算机应急响应小组/计算机安全事件响应小组
  • 网络安全
  • 灾难恢复和业务连续性管理
  • 身份和访问管理
  • 信息隐私
  • 信息法规遵从性(例如,美国PCI DSS、FISMA、GLBA、HIPAA;1998年英国数据保护法;加拿大PIPEDA、欧洲GDPR)
  • 信息风险管理
  • 信息安全与信息保障
  • 信息安全运营中心(ISOC)
  • 金融和其他系统的信息技术控制
  • IT调查、数字取证、eDiscovery

在组织中拥有CISO或同等职能已成为企业、政府和非营利组织的标准做法。到2009年,大约85%的大型组织有一名安全主管,高于2008年的56%和2006年的43%。2018年,CIO、CSO和普华永道联合开展的《2018年全球信息安全状况调查》(GSISS)[1][2]得出结论,85%的企业拥有CISO或同等资质。CISO的作用已扩大到涵盖业务流程、信息安全、客户隐私等方面的风险。因此,现在的趋势是不再在IT组中嵌入CISO功能。2019年,只有24%的CISO向首席信息官(CIO)报告,40%直接向首席执行官(CEO)报告,27%绕过首席执行官向董事会报告。将CISO职能嵌入首席信息官的报告结构下被认为是次优的,因为存在利益冲突的可能性,并且该角色的责任超出了IT团队的责任性质。

在企业中,CISO的趋势是在商业敏锐性和技术知识之间保持强有力的平衡。CISO通常需求量很大,薪酬与其他同样拥有类似公司头衔的C级职位相当。

典型的CISO持有非技术认证(如CISSP和CISM),尽管具有技术背景的CISO将拥有扩展的技术技能。其他典型培训包括管理信息安全计划的项目管理、管理信息安全预算的财务管理(如持有经认证的MBA)以及指导信息安全经理、信息安全总监、安全分析师等不同团队的软技能,安全工程师和技术风险经理。最近,由于CISO涉及隐私问题,对CIPP等认证的要求很高。

这一领域的最新发展是“虚拟”CISO(vCISO,也称为“分数CISO”)的出现。[3] 这些CISO在共享或部分的基础上工作,适用于规模可能不足以支持全职执行CISO的组织,或者出于各种原因,可能希望有一名专门的外部执行官履行此职责的组织。vCISOs通常执行与传统CISO类似的功能,并且在通常使用传统CISO的公司正在寻找替代者时,也可能充当“临时”CISO。[4] vCISOs可以支持组织的关键领域包括:

  • 就各种形式的网络风险提供建议并制定解决方案
  • 董事会、管理团队和安全团队辅导
  • 供应商产品和服务评估与选择
  • 成熟度建模运营和工程团队流程、能力和技能
  • 董事会和管理团队简报和更新
  • 运营和资本预算规划和审查

原文:https://en.wikipedia.org/wiki/Chief_information_security_officer

 

Tags