CISO之What & How

作為負責企業網路和資訊保安的決策者，首席資訊保安官（CISO）已經清楚地認識到，在應對當今企業面臨的飛速發展的網路環境時，曾經非常有效的傳統安全手段和人員結構越來越力不從心，大規模的企業網路入侵事件此起彼伏，如何為企業定義和建立一個高效的CISO團隊架構已經成為比安全技術本身更為重要的一個挑戰。

有很多文獻從各個角度對CISO職責做了詳盡描述，形成了各式各樣的理論體系。那麼CISO如何結合自身情況，理解並選擇最適合自己企業的理論和架構模型呢？基於著名的CERT彈性管理模型[Caralli 2011]，CISO的主要職責是以下四個方面：

• 保護，遮蔽，防禦和預防（Protect, Shield, Defend & Prevent）
• 監控，發現和追蹤（Monitor, Detect & Hunt）
• 響應，恢復和維持（Rsponse, Recover & Sustain）
• 治理，管理，遵守，教育和風險的管理（Govern, Manage, Comply, Education & Manage Risk）

我們在上一篇文章根據CISO這四個職能描繪了一個理想的CISO組織架構及架構中每一個部門的相關子職能，今天我們繼續以這四個職能為基礎，結合相關的政策，標準和操作規範，探討進一步將這四大職能分解為子職能及其具體工作內容，並與組織結構中的各部門作出對應關係。

參考的相關政策，標準和操作規範如下：

• CERT Resilience Management Model, version 1.1 [Caralli 2011]
• U. S. National Institute of Standards and Technology Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations [NIST 2015]
• U.S. Department of Energy Cybersecurity Capability Maturity Model (C2M2) [DOE 2014]
• U. S. National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity [NIST 2014]
• National Initiative for Cybersecurity Education (NICE) The National Cybersecurity Workforce Framework Version 1.0 [NICE 2013]1 and the Office of Personnel Management extensions to it [OPM 2014]
• SANS Critical Security Controls [SANS 2015]

每個參考模型，我們將其特定探討的主題對映到CISO的四個主要職能之一：保護，監視，響應和治理。每個功能又表示為具有一個或多個支援活動的子功能（即支援功能的下一個詳細級別）。在構建此對映關係時，我們還增加了“外包”屬性，這個屬性意味著該子功能可以不由CISO團隊執行，CISO僅保留監督職責，可以外包給企業內部其他部門或第三方完成。

理想的CISO職能和資源完整對應如下：

職能一：保護、遮蔽、防禦和預防（Protect, Shield, Defend & Prevent）

職能二：監控，發現和追蹤（Monitor, Detect & Hunt）

職能三：響應，恢復和維持（Rsponse, Recover & Sustain）

職能四：治理，管理，遵守，教育和風險的管理（Govern, Manage, Comply, Education & Manage Risk）

關於全息網禦：全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智慧），發現並實時重構網路中不可見的”使用者-裝置-資料”互動關係，推出以使用者行為為核心的資訊保安風險感知平臺，為企業的資訊保安管理提供無感知、無死角的智慧追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。