CISO之What＆How

作为负责企业网络和信息安全的决策者，首席信息安全官（CISO）已经清楚地认识到，在应对当今企业面临的飞速发展的网络环境时，曾经非常有效的传统安全手段和人员结构越来越力不从心，大规模的企业网络入侵事件此起彼伏，如何为企业定义和建立一个高效的CISO团队架构已经成为比安全技术本身更为重要的一个挑战。

有很多文献从各个角度对CISO职责做了详尽描述，形成了各式各样的理论体系。那么CISO如何结合自身情况，理解并选择最适合自己企业的理论和架构模型呢？基于著名的CERT弹性管理模型[Caralli 2011]，CISO的主要职责是以下四个方面：

1、保护，屏蔽，防御和预防（Protect, Shield, Defend & Prevent）

2、监控，发现和追踪（Monitor, Detect & Hunt）

3、响应，恢复和维持（Rsponse, Recover & Sustain）

4、治理，管理，遵守，教育和风险的管理（Govern, Manage, Comply, Education & Manage Risk）

我们在上一篇文章根据CISO这四个职能描绘了一个理想的CISO组织架构及架构中每一个部门的相关子职能，今天我们继续以这四个职能为基础，结合相关的政策，标准和操作规范，探讨进一步将这四大职能分解为子职能及其具体工作内容，并与组织结构中的各部门作出对应关系。

参考的相关政策，标准和操作规范如下：

CERT Resilience Management Model, version 1.1 [Caralli 2011]

U. S. National Institute of Standards and Technology Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations [NIST 2015]

U.S. Department of Energy Cybersecurity Capability Maturity Model (C2M2) [DOE 2014]

U. S. National Institute of Standards and Technology Framework for Improving Critical

Infrastructure Cybersecurity [NIST 2014]

National Initiative for Cybersecurity Education (NICE) The National Cybersecurity Workforce Framework Version 1.0 [NICE 2013]1 and the Office of Personnel Management extensions to it [OPM 2014]

SANS Critical Security Controls [SANS 2015]

对于每个参考模型，我们将其特定探讨的主题映射到CISO的四个主要职能之一：保护，监视，响应和治理。每个功能又表示为具有一个或多个支持活动的子功能（即支持功能的下一个详细级别）。在构建此映射关系时，我们还增加了“外包”属性，这个属性意味着该子功能可以不由CISO团队执行，CISO仅保留监督职责，可以外包给企业内部其他部门或第三方完成。

理想的CISO职能和资源完整对应如下：

职能一：保护、屏蔽、防御和预防（Protect, Shield, Defend & Prevent）

职能二：监控，发现和追踪（Monitor, Detect & Hunt）

职能三：响应，恢复和维持（Rsponse, Recover & Sustain）

职能四：治理，管理，遵守，教育和风险的管理（Govern, Manage, Comply, Education & Manage Risk）

关于全息网御：全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术，结合机器学习（人工智能），发现并实时重构网络中不可见的”用户-设备-数据”互动关系，推出以用户行为为核心的信息安全风险感知平台，为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。