ماهي مهام مدير أمن المعلومات
ومع ذلك ، هذا أمر مفهوم - تمت كتابة ISO 27001 بطريقة تجعلها قابلة للتطبيق على الشركات من أي حجم ، في أي صناعة ، لذا فإن مطالبة الشركات الصغيرة بتعيين CISO سيكون أمرًا مبالغًا فيه...
قد يبدو الأمر مضحكًا إلى حد ما ، لكن ISO 27001 لا تتطلب من الشركة ترشيح رئيس أمن المعلومات ، أو أي شخص آخر يقوم بتنسيق أمن المعلومات (على سبيل المثال ، ضابط أمن المعلومات ، مدير الأمن ، إلخ).
ومع ذلك ، هذا أمر مفهوم - تمت كتابة ISO 27001 بطريقة تجعلها قابلة للتطبيق على الشركات من أي حجم ، في أي صناعة ، لذا فإن مطالبة الشركات الصغيرة بتعيين CISO سيكون أمرًا مبالغًا فيه.
ماذا يفعل CISO عادة؟
الإمتثال
التوثيق
إدارة المخاطر
إدارة الموارد البشرية
العلاقة مع الإدارة العليا
التحسينات
إدارة الأصول
الأطراف الثالثة
التواصل
إدارة الحوادث
استمرارية الأعمال
الخلفية التقنية
ماذا يفعل CISO عادة؟
نظرًا لأن ISO 27001 لا يتطلب CISO ، فإنه لا يصف ما يجب أن يفعله هذا الشخص أيضًا - لذا فإن الأمر متروك لك لتحديد ما يناسب شركتك بشكل أفضل. بشكل عام ، يجب على هذا الشخص تنسيق جميع الأنشطة المتعلقة بتأمين المعلومات في الشركة ، وإليك بعض الأفكار حول ما يمكن أن يفعله هذا الشخص (مقسومًا على أقسام ISO 27001):
الإمتثال:
يقوم بتطوير قائمة الأطراف المهتمة المتعلقة بأمن المعلومات (انظر أيضًا من هم الأطراف المهتمة ، وكيف يمكنك التعرف عليهم وفقًا لمعيار ISO 27001 و ISO 22301؟)
وضع قائمة المتطلبات من الأطراف المهتمة
البقاء على اتصال مستمر مع السلطات وجماعات المصالح الخاصة
تنسيق جميع الجهود المتعلقة بحماية البيانات الشخصية
التوثيق:
اقتراح مسودة وثائق أمن المعلومات الرئيسية - على سبيل المثال ، سياسة أمن المعلومات ، وسياسة التصنيف ، وسياسة التحكم في الوصول ، والاستخدام المقبول للأصول ، وتقييم المخاطر ومنهجية معالجة المخاطر ، وبيان قابلية التطبيق ، وخطة معالجة المخاطر ، وما إلى ذلك.
كن مسؤولاً عن مراجعة وتحديث المستندات الرئيسية
إدارة المخاطر:
تعليم الموظفين كيفية إجراء تقييم المخاطر
تنسيق العملية الكاملة لتقييم المخاطر (انظر أيضًا: تقييم المخاطر ISO 27001 ومعالجتها - 6 خطوات رئيسية)
اقتراح اختيار الضمانات
اقتراح المواعيد النهائية لتنفيذ الضمانات
إدارة الموارد البشرية:
يقوم بإجراء فحوصات التحقق من خلفية المرشحين للوظيفة
يقوم بإعداد خطة التدريب والتوعية لأمن المعلومات (انظر أيضًا كيفية إجراء التدريب والوعي لمعيار ISO 27001 و ISO 22301)
أداء الأنشطة المستمرة المتعلقة بالتوعية
إجراء تدريب تمهيدي للموظفين الجدد حول الموضوعات الأمنية
اقتراح الإجراءات التأديبية بحق الموظفين الذين ارتكبوا الخرق الأمني
العلاقة مع الإدارة العليا:
الإبلاغ عن فوائد أمن المعلومات (انظر أيضًا أربع مزايا رئيسية لتطبيق ISO 27001)
اقترح أهدافًا لأمن المعلومات (انظر أيضًا أهداف التحكم ISO 27001 - ما سبب أهميتها؟)
تقرير عن نتائج القياس
اقتراح التحسينات الأمنية والإجراءات التصحيحية
اقتراح الميزانية والموارد الأخرى اللازمة لحماية المعلومات
تقرير المتطلبات الهامة للأطراف المهتمة
إخطار الإدارة العليا بالمخاطر الرئيسية
تقرير حول تنفيذ الضمانات
تقديم المشورة لكبار المديرين التنفيذيين في جميع الأمور الأمنية
التحسينات:
تأكد من تنفيذ جميع الإجراءات التصحيحية
التحقق مما إذا كانت الإجراءات التصحيحية قد قضت على سبب عدم المطابقة
إدارة الأصول:
الحفاظ على جرد لجميع أصول المعلومات الهامة
احذف السجلات التي لم تعد بحاجة إليها
التخلص من الوسائط والمعدات التي لم تعد قيد الاستخدام بطريقة آمنة
الأطراف الثالثة:
إجراء تقييم المخاطر للأنشطة التي سيتم الاستعانة بمصادر خارجية
إجراء فحص الخلفية للمرشحين لشركاء الاستعانة بمصادر خارجية
تحديد بنود الأمان التي يجب أن تكون جزءًا من اتفاقية
التواصل:
تحديد أي نوع من قنوات الاتصال مقبول وأيها غير مقبول
يقوم بإعداد معدات الاتصال لاستخدامها في حالة الطوارئ / الكوارث
إدارة الحوادث:
تلقي معلومات حول الحوادث الأمنية
تنسيق الاستجابة للحوادث الأمنية
تحضير الأدلة للدعوى القانونية بعد وقوع الحادث
تحليل الحوادث لمنع تكرارها
استمرارية الأعمال:
تنسيق عملية تحليل تأثير الأعمال ووضع خطط الاستجابة
تنسيق التمارين والاختبارات
إجراء مراجعة ما بعد الحادث لخطط الاسترداد
الخلفية التقنية:
اعتماد الأساليب المناسبة لحماية الأجهزة المحمولة وشبكات الحاسب وقنوات الاتصال الأخرى
اقتراح طرق المصادقة وسياسة كلمة المرور وطرق التشفير وما إلى ذلك.
اقتراح قواعد للعمل الآمن عن بعد
تحديد ميزات الأمان المطلوبة لخدمات الإنترنت
تحديد مبادئ التطوير الآمن لنظم المعلومات
مراجعة سجلات أنشطة المستخدم للتعرف على السلوك المشبوه
كيفية توثيق مسؤوليات CISO
كما ترى ، مسؤوليات CISO عديدة جدًا ، وهذا الشخص يشارك في العديد من المجالات المختلفة جدًا في شركتك.
كلما كبرت الشركة ، كلما أصبح من الصعب تذكر كل هذه المسؤوليات ، لذلك اعتمادًا على حجم مؤسستك ، يجب عليك إنتاج مستند واحد أو عدة مستندات حيث يمكنك وصفها. تميل بعض الشركات إلى سرد جميع مسؤوليات CISO في مستند واحد ، وهو أمر لا أجده مفيدًا شخصيًا - هذا لأنه من الصعب فهم دور شخص ما دون رؤية العملية التي يمثل جزءًا منها.
لذلك ، أعتقد أنه من الأفضل وصف هذه المسؤوليات في العديد من الوثائق التي توضح بالتفصيل تلك العمليات - على سبيل المثال ، يجب وصف مسؤوليات CISO المتعلقة بإدارة الموارد البشرية في سياسة الموارد البشرية ، والمسؤوليات المتعلقة بالحوادث في إجراءات إدارة الحوادث ، إلخ. .
من يجب أن يكون CISO؟
في الشركات الصغيرة ، يجب أن يقوم شخص ما بدور CISO جنبًا إلى جنب مع واجباته الأخرى - على سبيل المثال ، إذا كنت شركة مكونة من 10 موظفين ، فيمكن القيام بذلك بواسطة مسؤول نظام تكنولوجيا المعلومات لديك ؛ إذا كان لديك 100 موظف ، فقد يكون هذا هو مدير تكنولوجيا المعلومات لديك. ومع ذلك ، إذا كان لدى شركتك ألفان من الموظفين ، فيجب أن يكون لديك شخص واحد على الأقل بدوام كامل مخصص لهذه الوظيفة ، لأنها ستستهلك هذا الشخص بدوام كامل. أنظر أيضا: رئيس أمن المعلومات (CISO) - أين ينتمي في مخطط هيكلي؟
عند اختيار شخص ليكون CISO ، يجب ألا تقتصر معاييرك الرئيسية على مدى معرفة هذا الشخص بتكنولوجيا المعلومات - بل أقول إنه من المهم جدًا أن يعرف هذا الشخص العمليات التجارية في شركتك ، ولديه مهارات جيدة في التعامل مع الآخرين.
لماذا هذا؟ لأن الوظيفة الرئيسية لرئيس أمن المعلومات يجب أن تكون تطوير ثقافة أمنية قائمة على المخاطر في الشركة. تمامًا كما أن أحد المبادئ الأساسية في جميع الشركات هو أن جميع الأنشطة يجب أن تكون مربحة ، يجب على CISO تطوير عقلية مضمنة بالمثل مع الأمان: أن جميع الأنشطة التجارية تخلق مستوى معينًا من المخاطر الأمنية ، وأن مثل هذه المخاطر يجب أن يتم التخفيف من وطأتها بالضمانات - بحيث تجني الأعمال فوائد.