Главный сотрудник по информационной безопасности

A руководитель службы информационной безопасности (CISO ) является руководителем высшего звена в организации отвечает за создание и поддержание корпоративного видения, стратегии и программы для обеспечения надлежащей защиты информационных активов и технологий. Директор по информационной безопасности (CISO) руководит сотрудниками по выявлению, разработке, внедрению и сопровождению процессов в масштабе всего предприятия для снижения информационных рисков информационных технологий (ИТ). Они реагируют на инциденты, устанавливают соответствующие стандарты и средства контроля, управляют технологиями безопасности и руководят установлением и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соответствие информации (например, контролирует реализацию для получения сертификата ISO / IEC 27001 для организации или ее части).

Обычно влияние директора по информационной безопасности распространяется на всю организацию. Обязанности могут включать, но не ограничиваться:

• группа реагирования на компьютерные чрезвычайные ситуации / группа реагирования на инциденты компьютерной безопасности
• кибербезопасность
• аварийное восстановление и управление непрерывностью бизнеса
• идентификация и управление доступом
• Конфиденциальность информации
• Информация соответствие нормативным требованиям (например, US PCI DSS, FISMA, GLBA, HIPAA ; Великобритания Закон о защите данных 1998 ; Канада PIPEDA, Европа GDPR )
• Управление информационными рисками
• Информационная безопасность и обеспечение информации
• Операционный центр информационной безопасности (ISOC)
• Средства контроля информационных технологий для финансовых и других систем
• ИТ-расследования, цифровая криминалистика, eDiscovery

Наличие директора по информационной безопасности или аналогичной функции в организациях стало стандартной практикой в ​​коммерческих, государственных и некоммерческих организациях. К 2009 году примерно 85% крупных организаций имели ответственных за безопасность, по сравнению с 56% в 2008 году, и 43% в 2006 г. В 2018 г. Исследование lobal State of Information Security Survey 2018 (GSISS), совместное исследование, проведенное ИТ-директорами, CSO и PwC, показало, что 85% предприятий имеют директора по информационной безопасности или аналогичный сотрудник. Роль директора по информационной безопасности расширилась и теперь включает риски, связанные с бизнес-процессами, информационной безопасностью, конфиденциальностью клиентов и т. Д. В результате сейчас наблюдается тенденция к тому, чтобы больше не встраивать функции CISO в ИТ-группу. В 2019 году только 24% директоров по информационной безопасности подчиняются главному информационному директору (CIO), в то время как 40% подчиняются непосредственно генеральному директору (генеральному директору), а 27% не подчиняются генеральному директору. и подотчетен совету директоров. Включение функции CISO в структуру отчетности ИТ-директора считается неоптимальным, поскольку существует вероятность конфликта интересов, а также потому, что обязанности этой роли выходят за рамки характера обязанностей ИТ-группы.

В корпорациях есть тенденция к тому, что директора по информационной безопасности (CISO) обладают сильным балансом деловой хватки и технических знаний. Директора по информационной безопасности часто пользуются большим спросом, и размер вознаграждения сопоставим с другими должностями высшего руководства, которые также имеют аналогичное корпоративное звание.

Типичный директор по информационной безопасности имеет нетехнические сертификаты (например, CISSP и CISM ), хотя CISO, имеющий технический опыт, будет иметь расширенный набор технических навыков. Другое типичное обучение включает управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, обладание аккредитованной MBA) для управления бюджетами информационной безопасности и мягкие навыки для руководства разнородными группами менеджеров по информационной безопасности, директоров по информационной безопасности., аналитики безопасности, инженеры по безопасности и менеджеры по технологическим рискам. В последнее время, учитывая участие CISO в вопросах конфиденциальности, очень востребованы сертификаты типа CIPP.

Недавним развитием в этой области стало появление «виртуальных» CISO (vCISO, также называемых «Fractional CISO»). Эти директора по информационной безопасности работают на совместной или частичной основе в организациях, которые могут быть недостаточно большими для поддержки штатного исполнительного директора по информационной безопасности, или которые могут пожелать, по разным причинам, иметь специализированного внешнего исполнительного директора, выполняющего эту роль. vCISO обычно выполняют функции, аналогичные традиционным CISO, а также могут выступать в качестве «временного» CISO, в то время как компания, обычно использующая традиционный CISO, ищет замену.

• Информационная безопасность
  • Управление информационной безопасностью
  • Управление информационной безопасностью
• Совет директоров
• Главный специалист по данным
• Главный исполнительный директор
• Главный информационный директор
• Директор по рискам
• Директор по безопасности

• Руководство для руководителей по информационной безопасности
• Сертификат - Организационная безопасность
• Кто такой директор по информационной безопасности?
• NIST - Governance (PDF)