美国首席信息安全官委员会发布《首席信息安全官指南》,该指南可谓信息安全从业者的红宝书,全文170页,很有参考价值。指南目的:
- 教育和告知新任和现任首席信息安全官(CISO)在实施联邦网络安全管理中的作用。
- 提供相应资源,帮助CISOs应用风险管理原则,帮助联邦机构实现任务目标。
- 让CISOs了解相关法律、政策、工具和倡议,以帮助他们开发或改进网络安全计划。
本手册旨在向CISOs提供其所属机构实施联邦网络安全要求时所需的重要信息。
它对没有联邦政府经验的行政人员和熟悉公共部门、经验丰富的联邦雇员都有用。
手册主要一系列资源,阐明了网络安全挑战以及联邦管理的相关问题和机遇。
第1节,概述了CISO在该机构和整个联邦政府中的作用。本节首先概述定义CISO在信息安全方面的任务和责任。接下来是对关键组织及其在联邦网络安全中的作用的概述。本节最后总结了CISO必须完成的多种报告,以使该机构对政府部门负责。
第2节,网络安全的挑战分为两部分:管理整个企业的风险和政府范围的政策和举措。每一部分都从挑战的关键参考文件概述开始。
第2节的风险管理部分以《改善关键基础设施网络安全框架》为指南,该框架的实施由第13800号行政命令授权。为了提供风险管理流程概述,示例机构政策可参考网络安全框架中的特定目标以及国家标准技术研究所( NIST )的主要出版物。
第2节最后列举了政府对网络安全采取的各种做法。这些例子说明了如何将一项倡议或威胁转化为政策,然后必须将其纳入机构一级行动和政策。
第3节,包含帮助CISOs管理其组织资源的信息。本节首先概述了联邦人力资源局,以及CISO可以用来建立有效网络安全团队的机制。
第3节最后对政府范围内旨在帮助CISOs更好地履行职责并改善其机构以及整个联邦政府的网络安全态势服务进行了概述。
附录,指导CISOs获得本手册中讨论的工具、政策和最佳实践。其中包括:《金融情报机构责任分类》和《政府范围的政策和出版物》。
声明:本文来自占知智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
