最新的帖子

CISO领导概述

网络安全性思维映射示例:
  • 网络安全绪论
  • 扫描与防御技术
  • 口令破解及防御技术
  • 拒绝服务供给与防御技术
  • Web及防御技术
  • 计算机病毒
  • 网站安慰发诗
  • Sans Cisco Mind Map
  • 实业安全工作要点导图
免费云心灵地图网站:Mind Mup2 - //drive.mindmup.com/

A CISO (Chief Information Security Officer) has a complex role within a company. They have a wide array of tasks to perform, that involves many differing parts, which the average individual is not always aware of.

CISO Mind Map is an overview of responsibilities and ever expanding role of the CISO.  This Security Leadership poster made by SANS shows exactly the matters a CISO needs to mind when creating a world class IT Security team. It also highlights the essential features necessary of a Security Operations Centre (SOC).





To make this chart more practical, I put them into the tables and will update it with some technologies and thoughts applied in my daily work. This update will last a long term. It will be put into navigation bar for easy access.

安全运作

预防
检测
Response

  • 数据保护
    • IBM Guardium.
  • 网络安全
    • 网络IPS.
    • Firewall
      • Cisco
      • 检查站
      • FortiGate
      • Juniper
      • 帕洛阿尔托
      • etc
  • 应用安全
    • OWASP
    • WASC
    • Qualys是
    • IBM AppScan.
    • 惠普强化
    • VeraCode
  • 端点安全
    • Host IPS
    • 防病毒
    • AntiSpam
    • 端点加密
  • 安全配置
  • 主动辩护
  • Patching
    • WSUS
  • Web筛选
    • 思科Ironport.
  • 电子邮件过滤
    • 校对服务
  • 日志管理/暹粒
    • IBM QRadar.
    • ArcSight
  • 连续监测
  • 网络安全监控
    • Solarwinds.
    • PRTG
    • MRTG
  • netflow分析
  • 威胁狩猎
  • 渗透测试
    • Kali
  • Red Team
  • 漏洞扫描
    • Nessus
    • Qualys
  • 人类传感器
  • 数据丢失预防(DLP)
    • Symantec DLP.
  • 安全运营中心(SOC)
  • 威胁情报
    • Symantec ATP
    • FireEye
  • 威胁建模
    • Microsoft stride工具
  • 事件处理计划
    • Document
  • 违规准备
  • 桌面运动
  • 法医分析
    • Sans Sift.
    • Paladin
  • 危机管理
  • 违规通信




法律和监管


遵守 Privacy Audit 调查
  • PCI
  • SOX
  • HIPAA
  • FFIEC,CAT.
  • FERPA
  • NERC CIP
  • NISP SP 800-37和800-53
  • 2006年安大略省ACT的公共服务(PSOA)。
  • 就业标准法(安大略省)(ESA)
  • 隐私盾牌
  • EU GDPR
  • SSAE 16
  • SOC 2
  • ISO27001
  • Fisma和Fedramp.
  • nist sp 800-53a.
  • COSO
  • ediscovery
  • 法医学
    • Sans Sift.
    • Paladin
知识产权 合同审查 客户要求 诉讼风险
& Acts
  • 文件
  • 文件
  • 文件






风险管理



风险框架 风险评估方法 业务影响分析
  • FAIR
  • NIST RMF
  • OCTAVE
  • TARA
风险评估过程 风险分析和量化 安全意识


  • Training
  • 午餐学习
  • 沟通
漏洞管理 供应商风险管理 物理安全
  • Qualys

  • Badge
  • 门/转变
  • Camera
灾难恢复(DR) 业务连续性规划 风险待遇


  • 减缓规划验证
  • 修复
  • 网络保险
政策与程序
  • 行为守则
    • Accessibility Policy – Providing Services to People with Disabilities
    • Appropriate Use of Information and Computing Resources Policy
    • Financial 政策与程序, including Procurement&Contract Management Policy
    • 审判指南
    • Guidance for Staff on Invitations to Third Party Functions and Other Gifts
    • 个人交易规则指南
    • 信息和记录管理政策
    • 媒体关系政策
    • 政治活动政策
    • 尊重的工作场所政策
    • 安全/安全和紧急程序
    • 旅行,膳食和招待费用政策
    • 您在公司工作的指南
  • Policy on Protecting Information When Outside the Office
  • 安全分类指导
  • Proper recordkeeping and appropriate records management: relevant principles and best practices
  • Classification Scheme and Retention Schedule - Transitory Records Schedule







业务支持

产品安全 云计算 Mobile
  • 保护德沃斯
  • 安全开发生命周期
  • Bug啤酒奖金
  • Web,Mobile,Cloud Appsec
  • 云安全架构
  • 云指南
  • byod(带上自己的设备)
  • 移动政策
新兴技术 并购
  • 事情互联网(物联网)
  • 增强现实(AR)
  • 虚拟现实(VR)
  • 块链条
  • 安全尽职调查




治理



Strategy业务对准风险管理
  • 宪章
  • Roadmap
  • 安全姿势


程序框架控制框架计划结构
  • NIST CSF
  • ISO27000
  • 800-53
  • CIS控制

计划管理通信计划角色和职责



人力规划资源管理信息数据分类


  • 文件
安全政策创造安全文化安全培训
  • 安全手册
  • Policy

  • 意识培训
    • Wombat
  • 基于角色的培训
指标和报告IT投资组合管理更换管理层
  • Tibco Spotfire.

  • ITIL

董事会通讯

  • 信息安全转向板





识别和访问管理



供应/
消退
单一登录
(SSO)
联邦单唱(FSSO)



多因素身份验证
基于角色的访问控制(RBAC)
Identity Store(LDAP,ActiveDirectory)






领导能力


经营策略行业知识商业敏锐



沟通技巧演示技巧策略计划



技术领导安全咨询利益攸关方管理
  • ISO宪章
  • 咨询
  • 集团/团队邮箱
    • 着色分类

谈判使命和愿景价值观和文化



路线图开发商业案例开发项目管理
  • Company / Organization Wide Information Security RoadMap

  • 项目章程
员工发展金融计划预算



创新营销导致变革



客户关系团队建设指导

  • ISO团队仪表板
    • 项目组合
    • 运营活动



注意:ISO =信息安全办公室



另一个ciso思维映射示例:
Note: The original image concept was created by Rafeeq Rehman and later redesigned by Momentum Partners.

===================================================================
What is the job of Chief Information Security Officer (CISO) in ISO 27001?

遵守:
文档:
人力资源管理:
  • Perform background verification checks of job candidates
  • Prepare the training and awareness plan for information security (see also How to perform training&awareness for ISO 27001 and ISO 22301)
  • Perform continuous activities related to awareness raising
  • Performing induction training on security topics for new employees
  • Propose disciplinary actions against employees who performed the security breach
与最高管理层的关系:
  • Communicate the benefits of information security (see also ISO 27001实施的四个重点效益)
  • 提出信息安全目标(另见 ISO 27001控制目标 - 为什么重要?)
  • 报告测量结果
  • 提出安全改进和纠正措施
  • Propose budget and other required resources for protecting the information
  • 报告有关方面的重要要求
  • 通知最高管理主要风险
  • 报告执行保障的情况
  • 就所有安全事项建议顶级管理人员
改进:
  • 确保执行所有纠正措施
  • Verify if the corrective actions have eliminated the cause of nonconformities
资产管理:
  • Maintain an inventory of all important information assets
  • 删除不再需要的记录
  • Dispose of media and equipment no longer in use, in a secure way
第三方:
  • 对要外包的活动进行风险评估
  • Perform background check for candidates for outsourcing partners
  • Define security clauses that must be part of an agreement
沟通:
  • Define which type of communication channels are acceptable and which are not
  • Prepare communication equipment to be used in case of an emergency / disaster
事件管理:
  • 收到有关安全事件的信息
  • 协调对安全事件的反应
  • 在事件后准备法律行动的证据
  • 分析事件以防止他们的复发
业务连续性:
  • Coordinate the business impact analysis process and the creation of response plans
  • 协调锻炼和测试
  • 执行恢复计划的事件后审查
技术的:
  • Approve appropriate methods for the protection of mobile devices, computer networks and other communication channels
  • Propose authentication methods, password policy, encryption methods, etc.
  • 提出安全远程工作的规则
  • 定义Internet服务的所需安全功能
  • Define principles for secure development of information systems
  • Review logs of user activities in order to recognize suspicious behavior



暂无评论