מדיניות CISO לארגונים

מבוא

מנהל המערכות המידע האבטחתי (CISO) הוא האחראי הבכיר על אבטחת המידע בארגון. ה-CISO אחראי להקמה, יישום, תחזוקה ושיפור רציף של מערכת ניהול אבטחת המידע, להערכת הסיכונים האבטחתיים, להגנה על הנכסים המידעיים והמערכות החיוניות של הארגון, למיצוב תרבות אבטחתית בארגון, ולהתמודדות עם אירועים אבטחתיים.

מדיניות זו מגדירה את המשימות, האחריות, הסמכויות והמדדים של ה-CISO בארגון, בהתאם לתקנים ולהנחיות הבינלאומיות והמקומיות בתחום אבטחת המידע.

משימות ה-CISO

ה-CISO מבצע את המשימות הבאות:

  • להנחות ולנהל את הצוות האבטחתי של הארגון, ולהבטיח את ההכשרה, המומחיות והמוטיבציה שלו.
  • להגדיר את המדיניות, הנהלים, התקנות וההנחיות האבטחתיות של הארגון, בהתאם לאסטרטגיה העסקית, לדרישות החוקיות והתקניות, ולמטרות האבטחה.
  • ליישם ולשפר את מערכת ניהול אבטחת המידע של הארגון, על סמך התקן ISO/IEC 27001 או שווה לו, ולהבטיח את המעקב, הביקורת והאישור שלה.
  • לבצע או להפעיל הערכות סיכון אבטחתיות למערכות המידע והתשתיות הטכנולוגיות של הארגון, בהתאם למתודולוגיות מקובלות, ולהמליץ על פתרונות להפחתת הסיכונים.
  • להקים, לתחזק ולבחן תוכנית המשך עסקים (BCP) ותוכנית שחזור אחרי אסון (DRP) שמבטיחות את הזמינות והאלסטיות של המערכות והתהליכים החיוניים של הארגון במקרה של הפרעה או אסון.
  • להקים, לתחזק ולבחן תוכנית תגובה לאירועים אבטחתיים שמגדירה את הפרוצדורות והפעולות לזיהוי, דיווח, הגבלה, ניתוח ושיקום מאירועי אבטחה.
  • לקיים תוכנית הסברה והכשרה אבטחתית לכל העובדים והגורמים החיצוניים של הארגון, ולהגביר את המודעות והאחריות למדיניות, נהלים ומעשים אבטחתיים.
  • ליישם ולהגדיר כלים למעקב ולביקורת שמאפשרים את הגילוי והמניעה של פעילויות לא מורשות או זדוניות במערכות וברשתות המידע של הארגון, ומספקים ראיות לחקירה ולאחריות.
  • להחליף או לשדרג את הציוד המיושן או הלא נתמך, כגון חומות אש, מתגים, שרתים והתקני אחסון, שמהווים סיכונים אבטחתיים וביצועיים למערכות ולרשתות המידע של הארגון.

אחריות ה-CISO

ה-CISO אחראי ל:

  • להתאים את הפעילות האבטחתית לאסטרטגיה העסקית של הארגון, למטרות האבטחה, ולתקציב האבטחה.
  • להביא לידיעת ההנהלה הבכירה ולמטה האבטחה את מצב האבטחה של הארגון, את הסיכונים האבטחתיים, את המשוב האבטחתי, ואת ההמלצות האבטחתיות.
  • לקיים שיתוף פעולה ותיאום עם היחידות העסקיות, הטכנולוגיות והמשפטיות של הארגון בנוגע לנושאי אבטחת המידע.
  • לקיים שיתוף פעולה ותיאום עם הגורמים החיצוניים של הארגון, כגון לקוחות, ספקים, שותפים, רשויות רגולטוריות, וגורמים אבטחתיים, בנוגע לנושאי אבטחת המידע.
  • להקפיד על הישארות בעדכניות וברמת הידע הנדרשת בתחום אבטחת המידע, ולהעביר את הידע לצוות האבטחה ולארגון.
  • לפעול במקצועיות, באמינות, בשקיפות ובאחריות לכל נושאי האבטחה בארגון.

סמכויות ה-CISO

ה-CISO יש בידו את הסמכויות הבאות:

  • להקצות ולנהל את המשאבים האנושיים והטכנולוגיים של היחידה האבטחתית.
  • להציע ולאשר את המדיניות, הנהלים, התקנות וההנחיות האבטחתיות של הארגון.
  • להציע ולאשר את הפתרונות האבטחתיים למערכות ולתשתיות המידע של הארגון.
  • להציע ולאשר את התוכניות האבטחתיות להמשך עסקים, לתגובה לאירועים, ולהסברה והכשרה.
  • לבצע ולאשר את ההערכות האבטחתיות למערכות ולתשתיות המידע של הארגון.
  • לבקר ולאשר את הביצועים האבטחתיים של היחידה האבטחתית ושל הארגון.
  • לקבל ולאשר את הדיווחים האבטחתיים מהיחידה האבטחתית ומהארגון.
  • לקבל ולאשר את הטיפול באירועים אבטחתיים בארגון.
  • להפעיל סמכות חקירה והשעיה במקרה של הפרות אבטחתיות בארגון.
  • לייצג את הארגון בפני הגורמים החיצוניים בנוגע לנושאי אבטחת המידע.

מדדים להערכת ה-CISO

ה-CISO יוערך על סמך המדדים הבאים:

  • מידת ההתאמה של הפעילות האבטחתית לאסטרטגיה העסקית ולתקציב האבטחה.
  • מידת ההיענות לדרישות החוקיות והתקניות בתחום אבטחת המידע.
  • מידת ההשפעה של המדיניות, הנהלים, התקנות וההנחיות האבטחתיות על הארגון.
  • מידת היעילות והישימות של הפתרונות האבטחתיים שהוצעו ואושרו.
  • מידת ההצלחה של התוכניות האבטחתיות להמשך עסקים, לתגובה לאירועים, ולהסברה והכשרה.
  • מידת ההתאמה של ההערכות האבטחתיות למציאות האבטחתית של הארגון.
  • מידת השיפור האבטחתי של היחידה האבטחתית ושל הארגון משנה לשנה.
  • מידת השביעות רצון של ההנהלה הבכירה ושל מטה האבטחה מהדיווחים האבטחתיים.
  • מידת ההגברה של המודעות והאחריות האבטחתיות בארגון.
  • מידת המוניטין והאמינות של הארגון בפני הגורמים החיצוניים בנוגע לנושאי אבטחת המידע.

 

5/5 - (1 vote)

שתפו פוסט זה

ELPC דואגים לנגישות