需要组建怎样的队伍来管理信息安全风险,队伍中各角色的职责是什么?
在IT治理组织结构成果的基础上(没有的话,则从头建立),建立垂直专业管理的信息安全风险管理条线;建立常设的风险评估、监控扫描等专业团队,并以虚拟团队的方式覆盖整个企业;设立安全信息监控中心(运维中心)等实体化的信息安全支撑中心。组织结构如下图所示:
信息安全风险主管
•协助管理层确定信息安全风险管理目标、风险偏好
•确定信息安全风险管理策略;
•协调相关信息安全风险相关主要资源;
•向管理层汇报整体风险管理状况;
•协调信息安全风险管理相关方工作;
•组织制定信息安全风险管理政策。
总部信息安全安全风险管理:
•组织和管理整个公司信息安全风险管理工作
•组织制定信息安全风险管理规划
•组则整体信息安全风险管理组织建设
•负责信息安全风险管理团队、专业团队与内外部的协调工作;
•组织信息安全风险管理意识的宣传培训及信息安全风险管理专业培训;
•对专业团队及分行风险管理团队进行业务指导。
•汇总整个公司风险管理信息,撰写风险管理报告;
•执行合规性检查;
•对所有信息安全项目的信息安全需求进行评审,确保安全需求,控制项目风险。
•综合管理(后勤/人力)。
总部信息安全风险咨询团队:
•分析风险管理现状与风险管理技术趋势;
•起草风险管理政策;
•制定相关技术标准、操作规程。
信息安全风险项目管理与专业建设:
•负责信息安全相关项目的项目管理,协调负责安全开发与部署的开发中心/数据中心;
•负责加密技术等小部分核心信息安全技术的专业建设与开发。
信息安全风险管理专业团队
•研究信息安全风险管理发展趋势,协助管理层制定信息安全风险管理政策,判断风险管理现状;
•提供信息安全风险管理专业服务支持,为分行及数据、开发中心提供信息安全风险管理技术支撑与指导。
•负责应急响应的管理与执行。