Алексей Лукацкий выложил в блоге свой вариант чек-листа « План CISO на 2019 », но мне он показался, честно говоря, не очень удачным:
- Задачи не конкретны (а это является грубым нарушением идеи чек—листов). Как я пойму, что «я научился составлять и обосновывать бюджет», «начал готовиться к 2020му году» или «научился общаться с бизнесом»?
- Задачи слишком разной сложности, что тоже не слишком хорошо включать в один чек-лист. Смотрите, «Разработать стратегию и план реагирования на инциденты» как бы сильно отличается от задачи «составить свои отличительные (конкурентные) особенности».
- В кучу намешаны прикладные задачи ИБ и задачи личного развития. Имеет смысл группировать по темам.
Как любит повторять сам Алексей: "Критикуешь – предлагай".
Вот мой краткий вариант чек-листа:
Управление ИБ:
1. Создать Комитет по информационной безопасности
2. Составить перечень заинтересованных лиц и определить их требования и ожидания от ИБ
3. Определить и согласовать цели ИБ
4. Составить перечень информационных активов
Реализация ИБ:
5. Разработать Политику допустимого использования активов
6. Разработать Процедуру управления инцидентами
7. Разработать программу обучения и повышения осведомленности сотрудников по вопросам ИБ
8. Пересмотреть и актуализировать права доступа к ИС
9. Провести внутренний аудит ИБ
Личное развитие CISO:
10. Пройти 1 курс обучения (по ИБ и/или менеджменту)
11. Написать 2 статьи про ИБ
12. Посетить 3 профессиональные конференции по ИБ
Управление ИБ:
1. Создать Комитет по информационной безопасности
2. Составить перечень заинтересованных лиц и определить их требования и ожидания от ИБ
3. Определить и согласовать цели ИБ
4. Составить перечень информационных активов
Реализация ИБ:
5. Разработать Политику допустимого использования активов
6. Разработать Процедуру управления инцидентами
7. Разработать программу обучения и повышения осведомленности сотрудников по вопросам ИБ
8. Пересмотреть и актуализировать права доступа к ИС
9. Провести внутренний аудит ИБ
Личное развитие CISO:
10. Пройти 1 курс обучения (по ИБ и/или менеджменту)
11. Написать 2 статьи про ИБ
12. Посетить 3 профессиональные конференции по ИБ
Как и Алексей, я сделал этот чек-лист и картинкой и файлом PDF (его можно скачать в группе в ВК ).
Ну, а еще один (и более широкий) варианта годового чек-листа CISO вы можете посмотреть в моей заметке " Внедрение СУИБ: Чек-лист по процессам ".
Кстати, было бы интересно посмотреть на ваши варианты чек-листа для CISO на 2019 год. Присылайте мне свои варианты на prozorov.info@gmail.com с темой "Чек-лист для CISO". Лучшие варианты опубликую в блоге, может еще и приз какой-нибудь придумаю...