三分技术七分管理 | 如何做好一名信息安全经理?

阅读量    6837 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

9月26日,工业和信息化部网络安全管理局组织召开会议,督促推进全国互联网信息安全管理系统升级改造工作,统筹开展数据安全与网络安全技术手段建设。在最新发布的《“十四五”规划和2035年远景目标纲要》中,网络安全已经确定成为未来中国发展建设工作的重点之一。

IT治理是明确决策权归属及责任框架以鼓励在使用IT过程中的期望行为。

—— MIT 麻省理工学院斯隆管理学院信息系统研究中心

IT治理是执行层和董事会的责任,由领导力,组织架构和流程组成,以确保企业的IT 能够支持并发展组织的战略和目标。

—— ITGI(IT治理协会由ISACA 国际信息系统审计和控制协会于1998成立)

IT治理是一个含义广泛的术语,包括信息系统、技术、通信、业务、利益相关者、合规性及其他。其主要任务是:保持IT与业务目标的一致性,推动业务发展,促使收益最大化,合理利用IT资源,对IT相关风险适当管理。

—— Deloitte Touché 德勤

🤔作为一名信息安全经理,遇到以下2个情况怎么做才是最佳处理方式?

1、获取⾼级管理层的承诺和对信息安全的⽀持,最佳的⽅式是在做简报时()

A.使⽤成功攻击的示例作为例证

B.解释组织⾯临的技术⻛险

C.根据安全最佳实践评估组织

D.将安全⻛险与关键业务⽬标联系在⼀起

正确答案 D

A.如果成功攻击的示例不影响业务环境和目标,高级管理层不会对其感兴趣

B.如果组织面临的技术风险不影响业务环境和目标,高级管理层不会对其感兴趣。

C.只有行业最佳实践与组织以及组织业务目标相关时,才有可能引起高级管理层的重视。

D.高级管理层希望从实现关键业务目标的角度,了解对安全进行投资的业务合理性。

2、公司打算收购竞争对⼿,管理层想了解它的安全态势,信息安全经理下⼀步怎么做?

A.评估信息安全⼈员的资历和经验

B.执行全⾯的安全差距分析

C.评估它的政策

D.评估信息安全培训计划

正确答案B

信息安全治理是公司治理的一部分,需要将信息安全治理整合到企业的整体治理结构中,以确保与企业的治理保持一致。可能有多种治理框架适合企业来实施,包括COBIT 5和 ISO/IEC 27000等,框架的作用是整合和指导实施信息安全战略需要开展的活动,且必须在运营、管理和战略三个层面上建立指标。

COBIT 5——企业目标

很多人提到信息(网络)安全管理会首先想到的一个认证就是CISSP,其实还有一个安全认证也是备受关注的,那就是ISACA的CISM(国际注册信息安全经理),二者是相互补充,CISM更偏重于管理。

组织(企业或机构)往往专注于保护用于处理和存储大量信息的 IT 系统,而不是专注于保护信息本身,信息安全事故主要是治理失败造成的,无法仅通过技术手段解决。

CISM认证课程中提到,高层领导的支持对信息安全治理的成功尤为关键,善意的忽视、冷漠或直接的敌意不可能获得满意的结果,所以需要他们对信息安全治理负责,并且必须提供必要的领导能力、组织结构、监督、资源、流程和实施等,适当地利用它们来执行董事会与信息安全相关的指令,满足监管合规性以及其他要求。高级管理团队应该促进合作,解决视角差异,清楚工作的优先级,从而在绩效、成本和安全之间保持适当的平衡,这也非常重要。

CISM认证的学习除了帮助您更高效地与高层汇报工作,还考虑实际问题,例如创建信息安全计划和事件管理,为您的组织设计、部署和管理安全架构,同时促进全球使用的安全实践。本课程将使您能够很好地管理 IT 组织的持续安全性、合规性和治理。

识别二维码了解CISM认证受益详情

适合人群

CISM 认证面向经验丰富的信息安全管理人员和承担信息安全管理职责的人员,如安全策略管理工作的人员,需要管理、设计、监督或评估组织信息安全的人员,包括信息安全管理人员、有抱负的信息安全管理人员、信息安全经理,风险经理,首席信息官、首席信息安全官、IT 技术人员、信息安全咨询顾问、风险管理人员、开发人员等,具备 3-5 年左右信息安全管理经验人员其他 IT 相关管理人员等。

适合行业

✔️ 甲方、行业TOP等龙头企业首选

✔️ 上市公司 外资合资企业首选

✔️ 世界500强企业首选

✔️ 金融证券保险行业首选

师资实力

方乐老师,谷安天下合伙人超过20年的IT从业经验。在企业IT管理、IT治理、信息安全管理、IT风险管理、信息系统审计、数据治理等方面具有丰富的实战和咨询及培训经验,多次受邀在大型专业论坛和会议进行主题演讲。自2003年起,为超过500家企业的数千名IT经理、开发运维及安全相关人员培训 CISSP,CISM,CRISC,CGEIT,CISA,ITILv3 Expert,ITSM Master,ISO27001 LA,ISO20000 LA,DPO、CIPM、CIPT、CIPP/E等课程,深受学员们喜爱。

贴心服务

✔️ 我们提供全程服务平台,方便学员交流与学习,代缴考试费及约考等

✔️ CISM往期录播回放、试题讲解录播

✔️ 谷安天下为 CISM 直播班建立专属微信群,畅通快捷的交流复习过程中遇到的疑难问题,及时进行学习指导。

✔️ 谷安将免费为学员提供终身维持教育积分服务和课程,免去您的所有后顾之忧。

培训时间

11月13/14/20/21日

关于谷安培训

谷安培训作为安全行业的领军企业,深耕安全/IT认证培训14年,拥有专业的授课讲师团队,完善成熟的信息安全培训体系和授课质量服务体系,获得荣誉资质无数。

(谷安部分荣誉资质展示)

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多