需要组建怎样的队伍来管理信息安全风险，队伍中各角色的职责是什么？

未分类

原创2020-06-02小艾老师

COBIT IT治理认证知识体系考证须知证书含金量培训大纲 3分钟小视频我要提问

COBIT由信息系统审计与控制协会ISACA自1996年公布。COBIT是目前国际上权威的IT治理与控制框架，它在业务风险、控制需要和技术问题之间架起了一座桥梁，它可以辅助管理层进行IT治理，指导组织有效利用信息资源，有效地管理与信息相关的风险。最新版COBIT 2019框架提供了全面且更加实际的指引，可帮助企业更好地治理和管理其信息与技术，将为企业评估和调整IT治理项目提供最佳实践指导。COBIT是一个通用的框架，适用于所有规模的企业，无论是商业机构、非盈利机构或公共部门。

中文名COBIT IT治理认证
英文名Control Objectives for Information Technologies
英文简称COBIT
颁证机构ISACA（COBIT2019）、PeopleCert（COBIT5）
证书类别IT GRC，IT治理
同类认证CGEIT、CRISC、CISA

需要组建怎样的队伍来管理信息安全风险，队伍中各角色的职责是什么？

在IT治理组织结构成果的基础上（没有的话，则从头建立），建立垂直专业管理的信息安全风险管理条线；建立常设的风险评估、监控扫描等专业团队，并以虚拟团队的方式覆盖整个企业；设立安全信息监控中心（运维中心）等实体化的信息安全支撑中心。组织结构如下图所示：

信息安全风险主管

•协助管理层确定信息安全风险管理目标、风险偏好 •确定信息安全风险管理策略； •协调相关信息安全风险相关主要资源； •向管理层汇报整体风险管理状况； •协调信息安全风险管理相关方工作； •组织制定信息安全风险管理政策。

总部信息安全安全风险管理：

•组织和管理整个公司信息安全风险管理工作 •组织制定信息安全风险管理规划 •组则整体信息安全风险管理组织建设 •负责信息安全风险管理团队、专业团队与内外部的协调工作； •组织信息安全风险管理意识的宣传培训及信息安全风险管理专业培训； •对专业团队及分行风险管理团队进行业务指导。 •汇总整个公司风险管理信息，撰写风险管理报告； •执行合规性检查； •对所有信息安全项目的信息安全需求进行评审，确保安全需求，控制项目风险。 •综合管理（后勤/人力）。

总部信息安全风险咨询团队：

•分析风险管理现状与风险管理技术趋势； •起草风险管理政策； •制定相关技术标准、操作规程。

信息安全风险项目管理与专业建设：

•负责信息安全相关项目的项目管理，协调负责安全开发与部署的开发中心/数据中心； •负责加密技术等小部分核心信息安全技术的专业建设与开发。

信息安全风险管理专业团队

•研究信息安全风险管理发展趋势，协助管理层制定信息安全风险管理政策，判断风险管理现状； •提供信息安全风险管理专业服务支持，为分行及数据、开发中心提供信息安全风险管理技术支撑与指导。 •负责应急响应的管理与执行。