您的位置: 首頁 >互聯(lián)網(wǎng) >

你為什么需要一個虛擬的首席信息安全官

2020-04-24 16:39:19 編輯: 來源:
導(dǎo)讀 這是晚上8點。,你懷疑你的公司系統(tǒng)被黑了。你知道該怎么做嗎? IT World Canada (ITWC)的CIO Jim Love在最近的一次網(wǎng)絡(luò)研討會上說:“對于一個沒有適當(dāng)政策的公司來說,這是一場噩夢。”事實上,加拿大隱私專員最近的一項調(diào)查發(fā)現(xiàn),十分之四的公司沒有應(yīng)對安全漏洞的政策。 考慮到加拿大即將實施的新規(guī)定,這是個問題。從11月1日起,《個人信息保護和電子文件法》(PIPEDA)將

這是晚上8點。,你懷疑你的公司系統(tǒng)被黑了。你知道該怎么做嗎?

IT World Canada (ITWC)的CIO Jim Love在最近的一次網(wǎng)絡(luò)研討會上說:“對于一個沒有適當(dāng)政策的公司來說,這是一場噩夢?!笔聦嵣?,加拿大隱私專員最近的一項調(diào)查發(fā)現(xiàn),十分之四的公司沒有應(yīng)對安全漏洞的政策。

考慮到加拿大即將實施的新規(guī)定,這是個問題。從11月1日起,《個人信息保護和電子文件法》(PIPEDA)將要求公司報告可能造成重大損害的涉及個人信息的違規(guī)行為。他們還必須保留所有違規(guī)記錄。

“你需要證明你已經(jīng)做了盡職調(diào)查,你知道你的信息在哪里,你已經(jīng)采取了措施來緩解漏洞,”邁克爾·鮑爾(Michael Ball)說,他是一名虛擬的首席信息安全官,在Performance Advantage工作。“如果你做不到這一點,人們就會群起而攻之。”

Ball說,雇傭一個虛擬的首席信息安全官(vCISO)可能是解決方案,特別是對于那些負(fù)擔(dān)不起雇傭全職專家的中小型公司來說。

您的安全計劃需要包括哪些內(nèi)容

為了遵守這些規(guī)定,公司需要做的第一件事就是找到并分類它所保存的所有個人數(shù)據(jù)。該公司還必須建立檢測和記錄違規(guī)行為的機制。

洛夫說,最基本的要求是確保有適當(dāng)?shù)恼吆统绦颍U明一旦發(fā)生違約應(yīng)采取的步驟。這應(yīng)該包括一個計劃,如何處理最初的發(fā)現(xiàn)和報告的違反,評估是否影響個人信息,步驟,以遏制和消除威脅,計劃恢復(fù)和事后學(xué)習(xí)的情況。詳細(xì)的溝通計劃是另一個重要組成部分。

最后,公司需要定期測試和更新他們的計劃,并為員工提供持續(xù)的培訓(xùn)?!叭绻阏J(rèn)為自己可以在這些政策上游刃有余地,那就再想想吧,”洛夫說?!叭绻悴荒馨阉鼈兡媒o隱私專員看,那你就有大麻煩了。”

一個虛擬的CISO如何幫助

公司意識到他們需要一個管理角色以及隱私專家,說球,指出CIO和IT經(jīng)理可能沒有這個技能。虛擬CISO與一個公司合作,可以把所有這些必需的元素發(fā)生反應(yīng)計劃的地方,或只是為你處理它。更重要的是,一個虛擬的CISO由一群訓(xùn)練有素、經(jīng)驗豐富的專家組成,他們的技能很難找到?!?/p>

您對虛擬CISO有什么期望?Ball說,在最初的30天里,他們應(yīng)該進行評估和面試,看看你有什么合適的程序,他們是如何工作的。他們將找出差距并采取措施加以解決。他們也會為你的組織制定一個長期的計劃。

在60天內(nèi),虛擬CISO將為您建立一個信息安全政策框架,Ball說。他們將與您一起實施新的安全措施、訪問管理和事件響應(yīng)程序。還將建立季度指標(biāo)來評估正在進行的進展。

鮑爾說:“新的隱私規(guī)定將影響所有公司,無論其規(guī)模或行業(yè)。”“所有的公司都需要一個稱職的CISO和事故響應(yīng)計劃?!?/p>


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。