CISO元素周期表：圈重点考试.docxVIP

CISO元素周期表：圈重点考试 导语 在国外，企业安全负责人的职位通常是CISO，即首席信息安全官，主要负责对机构内的信息安全进行评估、管理和实现，这个角色通常会被设置为与CIO首席信息官平级，或者由CIO直属，向CIO汇报，但无论如何设置，CISO的重要性都是毋庸置疑的。 ? 在国内，安全的负责人通常还未被提到CISO这个高度，但是随着网络安全法的颁布以及国家对网络安全的高度重视程度，安全负责人的重要性势必会越来越高，一定会向CISO的方向去发展。 以下将CISO需要考虑的安全要素汇总提炼，总结成为下面的CISO元素周期表，在下面的篇幅中，将对逐个要素做以解释。 一、业务基础?Business Fundermental 1、Dx (Digital Transformation) 数字化转型 在任何企业环境中，安全与IT都是服务于企业业务的。数字化时代，数字化转型可能是CEO/CIO最重要的优先级。安全即使不直接与Dx相关，但至少不能与其相悖。优秀的安全总监要思考的是安全如何能够帮助企业实现安全、高效的数字化转型。很多安全的热点领域，如数据安全、业务安全都是与Dx直接相关的。 2、Go (Governance) 治理 治理是个非常大的课题。百度的定义中，治理的关键是规范行为方式和建立合理的机制。大到企业治理，小到IT治理，或是安全治理，重点都在如何确定关键人在关键事上的责权利设置。所以，在安全领域，治理无疑也是非常重要的。 3、Rm (Risk Management) 风险管理 在Gartner的定义中，Security（安全）和Risk（风险）是两个不同的维度，“安全”更偏向技术维度，“风险”则更偏向业务维度。在国内，可以看到的趋势是优秀的安全总监逐渐也在涉及风险领域，因为在数字化的时代，业务和IT本来就越来越紧密，越来越密不可分。如反欺诈这件事情，可以说是个业务问题，也可以说是个风险问题，但还可以说是个安全问题。 ?4、Co (Compliance) 合规 合法合规合理。在一些特定的行业，尤其在强监管的行业，合规性是业务必须确保的事务之一。 ?5、Gdp (General Data Protection Regulation) 通用数据保护条例 欧盟的通用数据保护条例将数字化时代的数据安全和合规要求提升到了一个新的高度。RSA大会上大部分公司都在强调产品或者解决方案如何匹配GDPR，甚至很多创业或者创新型安全公司主打的就是GDPR。如今年创新沙盒的冠军BigID。 6、Ba (Business Alignment) 与业务的协作 安全不是为了纯粹的安全，安全是为了保障业务的正常运行。所以安全必须保证业务的连续性，尤其在关键部门或者关键基础设施方面。这是一个基础性的共识。 二、IT基础?IT Fundermental 1、Am?(Asset Management)?资产管理 安全是重要的IT资产，也是重要的企业资产。在这点上，国外企业的意识非常领先，国内企业也在迎头赶上。这在中大型企业或者高度依赖IT的企业中，无论对CISO，还是CIO甚至CEO都是很有意义的。 2、Cm (Change Management)?变更管理 组织、业务过程、信息基础设施和系统等的变更极有可能会影响组织的信息安全，需加以控制。这个对变更活动进行控制的过程与内容就是变更管理。 ?3、Pm (Patch Management) 补丁管理 无论在国内国外，不同的企业间IT环境差别相当大，甚至同一企业中开发和生产环境也不尽相同，所以补丁管理是不容忽视的重要任务。如果不实施全面的补丁策略，后果可能会很严重，如生产系统关键任务会执行失败，安全性敏感系统会受到恶意利用，从而导致时间和业务收入的双重损失。 ?4、Cm (Configuration Management) 配置管理 随着软件系统的日益复杂化和用户需求、软件更新的频繁化，配置管理逐渐成为软件生命周期中的重要控制过程，在软件开发过程中扮演着越来越来重要的角色。一个好的配置管理过程能覆盖软件开发和维护的各个方面，同时对软件开发过程的宏观管理，即项目管理，也有重要的支持作用。良好的配置管理能使软件开发过程有更好的可预测性，使软件系统具有可重复性，使用户和主管部门对软件质量和开发小组更有信心。 ?5、Iam (Identity and Access Management) 身份识别与访问管理 IAM是让合适的人员在恰当的时间通过统一的方式访问被授权的信息资产，是提供集中式的数字身份管理、认证、授权、审计的模式和平台。 三、安全项目基础?Security?Program Fundermentals 1、Ns (Network Security) 网络安全 传统的安全多是在网络和流量方面搭建安全防御体系，但是