هذه المقالة يتيمة. ساعد بإضافة وصلة إليها في مقالة متعلقة بها

مدير أمن المعلومات

من ويكيبيديا، الموسوعة الحرة
اذهب إلى التنقل اذهب إلى البحث

مدير أمن المعلومات (CISO) هو المسؤول التنفيذي رفيع المستوى داخل منظمة مسؤولة عن إنشاء والحفاظ على رؤية المؤسسة واستراتيجيتها وبرنامجها لضمان حماية أصول وتقنيات المعلومات بشكل كاف. يقوم مديرأمن المعلومات (CISO) بتوجيه الموظفين في تحديد العمليات وتطويرها وتنفيذها وصيانتها عبر المؤسسة لتقليل مخاطر تكنولوجيا المعلومات والمعلومات. إنهم يستجيبون للحوادث، ويضعون المعايير والضوابط المناسبة، ويديرون تقنيات الأمن، ويوجهون إنشاء وتنفيذ السياسات والإجراءات. عادةً ما يكون CISO مسؤولاً أيضًا عن الامتثال المتعلق بالمعلومات (على سبيل المثال، الإشراف على التنفيذ لتحقيق شهادة ISO / IEC 27001 لكيان أو جزء منه). كما أن مدير أمن المعلومات مسؤول أيضًا عن حماية معلومات الملكية وأصول الشركة، بما في ذلك بيانات العملاء والمستهلكين. يعمل CISO مع المديرين التنفيذيين الآخرين للتأكد من نمو الشركة بطريقة مسؤولة وأخلاقية.

عادةً ما يصل تأثير مدير أمن المعلومات الى المنظمة بأكملها. قد تشمل المسؤوليات، على سبيل المثال لا الحصر:

أصبح الحصول على وظيفة CISO أو وظيفة معادلة في المنظمات ممارسة قياسية في الأعمال التجارية والحكومة والمنظمات غير الربحية. بحلول عام 2009، كان لدى ما يقرب من 85٪[1][2] من المؤسسات الكبيرة مدير تنفيذي أمني، ارتفاعًا من 56٪ في عام 2008، و 43٪ في عام 2006. في عام 2018، مسح الحالة العالمية لأمن المعلومات 2018 (GSISS)، وهو مسح مشترك أجراه CIO، CSO ، و PwC ،  خلصوا إلى أن 85٪ من الشركات لديها مدير أمن المعلومات أو ما يعادلها. تم توسيع دور مدير أمن المعلومات ليشمل المخاطر الموجودة في العمليات التجارية وأمن المعلومات وخصوصية العملاء والمزيد. نتيجة لذلك، هناك اتجاه الآن لعدم تضمين وظيفة مدير أمن المعلومات في مجموعة تكنولوجيا المعلومات. في عام 2019، 24٪ فقط من مدراء أمن المعلومات يقدمون تقاريرهم إلى مدير المعلومات (CIO)، في حين أن 40٪ يقدمون تقاريرهم مباشرة إلى الرئيس التنفيذي (CEO)، و 27٪ يتخطون الرئيس التنفيذي ويقدمون تقاريرهم إلى مجلس الإدارة. يعتبر تضمين وظيفة مدير أمن المعلومات ضمن هيكل التقارير الخاص بـ مدير المعلومات CIO دون المستوى الأمثل، نظرًا لوجود احتمالية لتضارب المصالح ولأن مسؤوليات الدور تتجاوز طبيعة مسؤوليات مجموعة تكنولوجيا المعلومات.

في الشركات، الاتجاه هو أن يتمتع مدراء أمن المعلومات بتوازن قوي بين الفطنة التجارية والمعرفة التكنولوجية. غالبًا ما يكون الطلب على مدير أمن المعلومات مرتفعًا والتعويضات قابلة للمقارنة مع المناصب الأخرى على مستوى C والتي تحمل أيضًا لقبًا مشابهًا للشركة.

يحمل مدير أمن المعلومات النموذجي شهادات غير تقنية (مثل CISSP و CISM)، على الرغم من أن مدير أمن المعلومات القادم من خلفية فنية سيكون لديه مجموعة مهارات تقنية موسعة. يشمل التدريب النموذجي الآخر إدارة المشاريع لإدارة برنامج أمن المعلومات، والإدارة المالية (مثل الحصول على ماجستير إدارة أعمال معتمد) لإدارة ميزانيات المعلومات، والمهارات الشخصية لتوجيه فرق غير متجانسة من مديري أمن المعلومات، ومديري أمن المعلومات، ومحللي الأمن، ومهندسي الأمن ومديري مخاطر التكنولوجيا. مؤخرًا، نظرًا لاشتراك CISO في مسائل الخصوصية، فإن الشهادات مثل CIPP مطلوبة بشدة.

التطور الأخير في هذا المجال هو ظهور مدراء أمن المعلومات الافتراضيين (vCISO).[3]  يعمل هؤلاء المدراء على أساس مشترك أو جزئي، للمنظمات التي قد لا تكون كبيرة بما يكفي لدعم رئيس تنفيذي بدوام كامل، أو التي قد ترغب، لعدة أسباب، في أن يكون لها تنفيذي خارجي متخصص يؤدي هذا الدور. تؤدي vCISOs عادةً وظائف مماثلة لـ CISO التقليدية، وقد تعمل أيضًا كـ مدير أمن المعلومات«مؤقتًا» بينما تبحث الشركة التي تستخدم مدير أمن المعلومات تقليديًا عن بديل.[4]  تشمل المجالات الرئيسية التي يمكن أن تدعمها vCISOs منظمة ما:

  • تقديم المشورة بشأن جميع أشكال المخاطر الإلكترونية وخطط معالجتها
  • مجلس الإدارة وفريق الإدارة وتدريب الفريق الأمني
  • تقييم واختيار البائع للمنتج والخدمة
  • عمليات نمذجة النضج وعمليات الفريق الهندسي والقدرة والمهارات
  • إحاطة مجلس الإدارة وفريق الإدارة والتحديثات
  • تخطيط ومراجعة الميزانية التشغيلية والرأسمالية

المراجع[عدل]

  1. ^ "Does it matter who the CISO reports to? | CSO Online"، web.archive.org، 04 أبريل 2019، مؤرشف من الأصل في 4 أبريل 2019، اطلع عليه بتاريخ 12 مايو 2022.{{استشهاد ويب}}: صيانة CS1: BOT: original-url status unknown (link)
  2. ^ topic, Research؛ slides، "Security Priorities Study 2021 • Foundry"، Foundry (باللغة الإنجليزية)، مؤرشف من الأصل في 20 أبريل 2022، اطلع عليه بتاريخ 12 مايو 2022.
  3. ^ Drolet, Michelle (01 أبريل 2015)، "Secure Your Future with a Virtual CISO"، Infosecurity Magazine، مؤرشف من الأصل في 24 نوفمبر 2020، اطلع عليه بتاريخ 12 مايو 2022.
  4. ^ "vCISO Services. Cybersecurity and Virtual CISO services — SideChannel"، SideChannel | Virtual CISOs. Real Cybersecurity. (باللغة الإنجليزية)، مؤرشف من الأصل في 30 مارس 2022، اطلع عليه بتاريخ 12 مايو 2022.