Директор по информационной безопасности - Chief information security officer
 | Эта статья нужны дополнительные цитаты для проверка. (Май 2016) (Узнайте, как и когда удалить этот шаблон сообщения) |
А директор по информационной безопасности (CISO) является руководителем высшего звена в организация отвечает за формирование и поддержание корпоративного видения, стратегии и программы для обеспечения надлежащей защиты информационных активов и технологий. Директор по информационной безопасности (CISO) направляет персонал в определение, разработку, внедрение и сопровождение процессов на предприятии для сокращения объема информации и информационные технологии (ИТ) риски. Они реагируют на инциденты, устанавливают соответствующие стандарты и средства контроля, управляют технологиями безопасности и руководят установлением и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соответствие информации (например, контролирует внедрение для достижения ISO / IEC 27001 сертификация для юридического лица или его части). Директор по информационной безопасности также отвечает за защиту служебной информации и активов компании, включая данные клиентов и потребителей. CISO работает с другими руководителями, чтобы обеспечить рост компании ответственным и этичным образом.
Обычно влияние директора по информационной безопасности распространяется на всю организацию. Обязанности могут включать, но не ограничиваться:
- Группа реагирования на компьютерные чрезвычайные ситуации / группа реагирования на инциденты компьютерной безопасности
- Информационная безопасность
- Аварийное восстановление и Управление непрерывностью бизнеса
- Управление идентификацией и доступом
- Конфиденциальность информации
- Информация соответствие нормативным требованиям (например, США PCI DSS, FISMA, GLBA, HIPAA; Великобритания Закон о защите данных 1998 г.; Канада ПИПЕДА, Европа GDPR )
- Управление информационными рисками
- Информационная безопасность и обеспечение информации
- Центр управления информационной безопасностью (ISOC)
- Контроль информационных технологий для финансовых и других систем
- ИТ-расследования, цифровая криминалистика, eDiscovery
Наличие директора по информационной безопасности или аналогичной функции в организациях стало стандартной практикой в коммерческих, государственных и некоммерческих организациях. К 2009 году примерно 85% крупных организаций имели ответственных за безопасность, по сравнению с 56% в 2008 году и 43% в 2006 году. В 2018 году Глобальное исследование состояния информационной безопасности 2018 (GSISS), совместное исследование, проведенное ИТ-директором, CSO и PwC,[1] пришел к выводу, что 85% предприятий имеют директора по информационной безопасности или эквивалент. Роль директора по информационной безопасности расширилась и теперь включает риски, связанные с бизнес-процессами, информационной безопасностью, конфиденциальностью клиентов и т. Д. В результате сейчас наблюдается тенденция к тому, чтобы больше не встраивать функции CISO в ИТ-группу. В 2019 году только 24% директоров по информационной безопасности подчиняются Руководитель информационной службы (CIO), а 40% подчиняются непосредственно Директор компании (CEO), а 27% обходят генерального директора и отчитываются перед советом директоров. Включение функции CISO в структуру отчетности ИТ-директора считается неоптимальным, поскольку существует вероятность конфликта интересов, а также потому, что обязанности этой роли выходят за рамки характера ответственности ИТ-группы.
В корпорациях есть тенденция к тому, что директора по информационным технологиям должны обладать сильным балансом деловой хватки и технических знаний. Директора по информационной безопасности часто пользуются большим спросом, и их вознаграждение сопоставимо с другими должностями высшего руководства, которые также занимают аналогичные должности. корпоративное название.
Типичный CISO имеет нетехнические сертификаты (например, CISSP и CISM ), хотя CISO с техническим образованием будет иметь расширенный набор технических навыков. Другое типичное обучение включает управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, проведение аккредитованный MBA) для управления бюджетами информационной безопасности и soft-skills для управления разнородными командами менеджеров по информационной безопасности, директоров по информационной безопасности, аналитиков по безопасности, инженеров по безопасности и менеджеров технологических рисков. В последнее время, учитывая участие CISO в вопросах конфиденциальности, такие сертификаты, как CIPP очень востребованы.
Недавним развитием в этой области стало появление «виртуальных» CISO (vCISO, также называемых «Fractional CISO»).[2] Эти директора по информационной безопасности работают на совместной или частичной основе в организациях, которые могут быть недостаточно большими для поддержки штатного исполнительного директора по информационной безопасности, или которые могут пожелать, по разным причинам, иметь специализированного внешнего исполнительного директора, выполняющего эту роль. vCISO обычно выполняют функции, аналогичные традиционным CISO, а также могут выполнять функции «временного» CISO, пока компания, обычно использующая традиционный CISO, ищет замену.
Смотрите также
- Информационная безопасность
- Совет директоров
- Главный специалист по данным
- Директор компании
- Руководитель информационной службы
- Директор по рискам
- Начальник службы безопасности
Рекомендации
- ^ «Глобальное исследование состояния информационной безопасности». PricewaterhouseCoopers. Получено 25 мая 2019.
- ^ https://www.infosecurity-magazine.com/opinions/secure-your-future-with-a-virtual/