На просторах сети Интернет уже неоднократно встречаю вот эту майндкарту по задачам CISO.
Довольно интересный документ, рекомендую к изучению!
Уже сейчас обратил внимание вот на какие моменты:
- Областей очень много. Не понятно, что важнее (нет приоритетов), с чего начинать, сколько времени тратить на блоки (хотя бы в %).
- "Бумажной безопасности" очень мало...
- Неплохо проработаны задачи GRC (хоть и compliance западный), управление бюджетом и управление проектами.
- В явном виде не отмечены блоки, где CISO играет не главную роль, но взаимодействует с другими подразделениями. Например, HR и IT.
- Много актуальных технологий и концепций ИБ (SOC, MSSP, WAF, SIEM и пр.) и ИТ (IoT, cloud, BYOD, и пр.).
- Хорошо, что теме "Identity Management" посвящен отдельный блок, она очень важная.
- Мало внимания уделено теме управления непрерывностью бизнеса. И блок "Incident management" есть куда расширить...
- Awareness упомянут лишь вскользь .
- Что-то не вижу в явном виде упоминания "инвентаризации информации/активов" и анализа контекста, хотя они и могут входить в и "риски", и в "governance".
P.S. Кстати, еще по теме рекомендую посмотреть заметку " Области ответственности CISO по COBIT5 "
