Een Chief Information Security Officer ( CISO ) verwijst naar de rol van de persoon die verantwoordelijk is voor de informatiebeveiliging in een organisatie. De taken variëren in de praktijk op basis van de behoeften van het bedrijf, die deze rol en personeel adverteren, maar ze kunnen ook worden afgeleid van de relevante normen voor informatiebeveiliging.
Taken
Voor kleinere organisaties of voor degenen die verantwoordelijk zijn voor subsecties binnen een grotere organisatie, kan de “Chief” worden weggelaten en de term Information Security Officer (“ISO”, niet te verwarren met de term voor normen) of Information Security Officer . Af en toe komt de misleidende term IT-beveiliging voor. Maar IT-beveiliging is slechts een aspect van informatiebeveiliging .
De CISO neemt meestal de volgende taken op:
- Ontwikkeling en definitie van voor beveiliging relevante objecten, bedreigingen en risico’s en de afgeleide beveiligingsdoelen
- Oprichting en werking van een organisatorische eenheid om de beveiligingsdoelstellingen te implementeren
- Uitwerking, aanpassing van beveiligingsrichtlijnen
- Auditing van functionele eenheden over de stand van uitvoering en verdere ontwikkeling van veiligheidsvoorschriften
- Creëer bewustzijn van medewerkers door middel van training en campagnes
- Portfoliobeheer van voor beveiliging relevante bedrijfsprocessen
De CISO is meestal niet ondergeschikt aan de Chief Information Officer (CIO), de rapportering gebeurt vaak rechtstreeks aan de Chief Executive Officer (CEO), omdat de IT-beveiliging slechts een deelverzameling is van de taken van een (C) ISO, en de beveiliging en het risicobeheer van alle informatieactiva van een bedrijf (bijv. ook bestandsmappen / papier).
Idealiter is de scheiding van functies zodanig dat de IT-afdeling of hoofd van IT-beveiliging een soort interne leverancier is, terwijl de vereistenkant wordt weergegeven door de (C) ISO – namens het management. Als onderdeel van een Information Security Management System (ISMS) kan (C) ISO de IT-bezorgingspagina controleren en de resultaten rapporteren aan het management. In kleinere bedrijven, maar ook in veel grotere bedrijven zonder ISMS of met een laag niveau van informatiebeveiliging, kunnen al deze functies anders of minder strikt gescheiden worden gedefinieerd.
Een essentiële basis voor het werk van de CISO is meestal de ISO / IEC 27000-serie .