#1
|
||||
|
||||
風險長5年內取代資訊安全官?
企業資訊化程度愈高,資安管理與緊急應變等資安需求也相對提升,幾年來,企業設置資安專責主管或組織的風潮出現,現階段卻仍侷限在金融、政府、醫療、電信與高科技等產業。
資訊安全官 (Chief Information Security Officer,CISO), 更是現在許多企業開始積極增設的職位。然而已經身為賽門鐵克資訊安全官的Tim Mather就大膽提出預測:5年內風險長 (CRO)將取代資訊安全官(CISO)。 企業風險為CISO關注焦點 Tim Mather表示,主要的原因是,隨著資訊化程度提高、商業模式逐漸成熟,資訊安全已經成為企業風險的重要元件,這也是現今資訊安全官的主要議題,也會有越來越多工具協助企業解決這類問題。 相較於CA、McAfee、Sophos、趨勢科技等主要競爭對手,賽門鐵克是少數設有資訊安全官的資訊廠商,賽門鐵克資訊安全官Tim Mather表示,長久以來,賽門鐵克的資訊安全一直有專人負責,尤其是公司營收超過5億美元之後,並在2002年對資訊安全重新評估並加以提升,賦予資訊安全官(CISO)的正式職稱。 以ISO27000標準而建立CISO工作平臺 賽門鐵克的資訊安全官負責企業資訊安全,任何與資訊相關,無論是紙本或電子檔案都在管轄範圍,另外,包括隱私權控管、內部稽核與法規遵循、資訊系統的性能稽核等等都是所屬工作範圍。至於職位層級,賽門鐵克的CISO隸屬資訊部之下,直接向資訊長(CIO)報告。 賽門鐵克的CISO監督平臺是參考ISO27000標準而建立的,一方面因為這個標準一向被外部稽核人員視為圭臬,是稽核人員普遍參考的模式。 另一方面,建立一個符合標準的資訊平台,將有利於企業發展領導政策與預算分配,資訊安全官可以藉此創造CISO的工作平臺,維持CISO組織的獨立性,將有助企業改善企業的資訊安全和並建立可信任的評估程序。 賽門鐵克堅持每1000:1的全職資安人員比例 Tim Mather認為,職位層級高低或是設置專責組織,因公司而異,並沒有所謂的標準模式,在賽門鐵克,資訊長負責企業整體資訊運作,而CISO就負責這些事務的安全性及公司稽核。特別的是,賽門鐵克認為,儘管公司據點與工作人員遍布全球,他們堅持每1000名員工中,至少有1位全職資安人員這樣的比例。根據賽門鐵克的經驗,當公司每年營收從數億美元發展到數十億美元,儘管資訊安全官的基本職權不變,伴隨著企業規模與網路應用的成長,資訊安全官的工作任務不斷增加,但是工作種類卻大致相同。 他建議有一定規模的企業設立資訊安全官,因為規模越大的企業需求越高,要掌控的環節更多,尤其是網路應用服務越來越多,將增加企業進行資安控管的難度,設有專責CISO會容易許多。 另外,還要看產業特性,如果資訊是公司的重要環節或商品,重要性高於製造或零售,則這類公司就有設立CISO的需求,以維護或管理組織上下資訊交換的完整性。
__________________
A.一文請勿多貼。 B.請選擇相關屬性的版面發文。 C.各類廣告有專版,請勿隨意發至不相干之版面。 ---------------------------------------------- 發佈您網站的新聞請到 What's New 新聞發佈網來。 |