질문 2:2:CSO 는 무엇을 의미합니까?
CSO 는 CISO (CIO) 또는 ISO (information security officer) 라고도 하며 CIO (CIO) 와는 다릅니다.
CSO (chief security officer) 는 물리적 보안 및 디지털 정보 보안을 포함한 조직 전체의 안전한 운영을 담당하고 있습니다. CSO 는 정보 기술, 인적 자원, 통신, 규정 준수, 장비 관리 및 기타 조직을 포함한 회사의 내부 보안 업무를 감독하고 조정합니다. CSO 는 또한 안전 조치 및 표준 개발을 담당합니다. CSO 는 무중단 업무 운영, 손실 방지, 사기 예방 및 개인 정보 보호와 관련된 활동과 같은 관련 분야의 활동을 자주 개최하거나 참여해야 합니다.
CISO (chief information security officer) 는 조직 전체의 보안 전략을 담당하고 있습니다. CIO 는 종종 CIO (chief information officer) 에게 보고해야 하며, 때로는 CEO (CEO) 에게 직접 보고해야 하는 경우도 있습니다.
그러나 실생활에서는 CSO 와 CIO 의 역할이 상호 작용하는 경우가 많습니다.
세대 CSO
여러 가지 요인으로 인해 다양한 보안 문제가 한데 모여 단일 조직에 의해 보호되어야 하므로 CSO 의 역할이 나타납니다. 이러한 요소는 다음과 같습니다.
전술적 차원에서 기술 요소는 데이터베이스 기술 및 네트워크 기술에 의해 지속적으로 구동되는 물리적 보안 도구에 주입되고 있습니다.
전략적 차원에서 회사 CEO 와 이사회는 사반스 오크슬리 법안과 같은 법률 규정에 따라 기업 차원에서 위험을 통제한다.
실천 차원에서 CSO 통합 관리 보안 문제는 운영 비용을 크게 절감할 수 있습니다.
최고 보안 책임자 (CSO) 의 직무 기능
일반적으로 보안 정책은 기업의 다양한 요구 사항에 따라 변경되어야 합니다. 기업마다 서로 다른 보안 정책이 필요하지만 일반적으로 보안 정책에는 다음과 같은 기능이 포함되어야 합니다.
1. 기업 자산, 지적 재산권 및 컴퓨터 시스템 보안을 담당하는 보안 기관 및 서비스 공급업체를 모니터링합니다.
2. 회사의 전략 계획에 부합하는 보호 목표 및 보호 체계를 결정합니다.
3. 보안 문제의 지속적인 해결을 보장하기 위해 지역 및 글로벌 보안 정책, 보안 표준, 지침 및 구현 절차를 개발하고 구현합니다. 정보 보호 책임에는 네트워크 보안 아키텍처, 네트워크 액세스 및 정책 모니터링, 직원 교육 등이 포함됩니다.
4. 보안 취약점을 조사하는 것처럼 이벤트 대응 계획을 종합적으로 모니터링하고 필요한 경우 보안 취약성 부서가 교육 프로그램 및 법률 업무를 개선할 수 있도록 지원합니다.
5. 안전 감사 컨설턴트와 같은 외부 보안 컨설턴트와 협력하십시오.
포괄적 인 위험 관리 전략을 개발하고 구현을 보장합니다. 현재와 미래에 발생할 수 있는 위험을 이해하고 필요한 경우 위험과 위협의 변화에 따라 정책을 적시에 조정합니다.
7. 제품의 내부 사용을 종합적으로 모니터링하여 엔지니어링 팀과 운영 팀 간의 커뮤니케이션을 유지하여 제품에 문제가 발생할 경우 적시에 문제를 발견하고 해결할 수 있도록 합니다.
8. 재해 복구/무중단 업무 운영 전략을 더욱 보완하고 각 사업부의 공동 노력을 통해 잘 통합된 계획과 전략을 확보하십시오.
9. 물리적 보안 책임에는 자산 보호, 작업장 위험 보호, 액세스 제어 시스템 및 비디오 감시 조치가 포함되어야 합니다.
Cso 의 책임
1 청중의 인식 수준을 높이고 청중의 생각을 이해하는 것으로 시작하여 지역 및 글로벌 기업의 보안 상태를 개선합니다.
2. 안전자원과 검사 수단을 제공하고 기업의 정상적인 운영에 영향을 주지 않는다.
기업 전체에 큰 영향을 미치는 핵심 프로젝트를 시작하십시오.
4. 기업의 우선 순위, 자산 및 격차 분석을 고려하여 기업의 전반적인 위험과 안전 계획의 범위를 결정합니다.
5. 안전 문제를 피하는 것이 내부 생산성 발전을 가로막는 병목 현상이 되었다.
CSO 는 다음과 같은 실수를 피해야합니다.
1, 보안 문제는 기술적인 문제일 뿐이라고 생각합니다.
거시적 문제와 미시적 문제를 비교해보십시오.
사용자가 보안 문제에 관심이 있다고 추측합니다.
사용자가 보안 문제에 대해 많이 알고 있다고 추측합니다.
Cso 자격
위에서 CSO 책임에 대한 묘사에서 볼 때, 그는 기업에서의 지위가 매우 중요하기 때문에 CSO 에 대한 자격 요건도 그의 의무와 일치해야 한다. (윌리엄 셰익스피어, CSO, CSO, CSO, CSO, CSO, CSO)
그는 이성적이고, 표현에 능하며, 설득력 있는 지도자여야 한다. 회사의 고위 관리팀의 유능한 성원으로서 그는 이 직위를 감당할 수 있다. 기술 및 비기술자를 포함한 보안 관련 개념에 대해 광범위하게 교류할 수 있습니다.
상업 계획, 계정 검사 및 위험 관리 경험 (계약 및 비즈니스 협상 포함) 이 있습니다.
방화벽, VPN, 침입 탐지 등의 보안 장치를 포함한 정보 기술 및 정보 보안에 대한 법적 배경을 가지고 있습니다.
자격을 갖춘 안전 주임이 갖추어야 할 기본 자질.
관리 능력. CSO 는 보안 메커니즘을 설계하고, 보안 규칙을 개발하고, 회사 경영진과 소통하고, 왜 이런 보안 방안이 필요한지, 그의 관리 능력은 그가 자신이 결정한 일을 할 수 있도록 해야 한다.
보안 메커니즘에는 방화벽, IDS 및 IPS 배포 방법이 포함됩니다. 사이버 취약점과 해커 공격의 수단에 대해 CSO 는 회사 각 부서의 임원들이 무엇을 해야 하는지 알 수 있도록 보안 규칙을 세우고 각 부서의 보안을 정기적으로 점검하고 평가해야 한다. (윌리엄 셰익스피어, 보안, 보안, 보안, 보안, 보안, 보안, 보안, 보안, 보안)
예를 들어, 가격 및 뉴스 정보가 다른 회사에서 나온 은행의 온라인 거래 업무와 같이, 은행은 이러한 정보를 적시에 얻기 위해 서로 다른 여러 타사 회사를 연결해야 합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 인터넷명언) 동시에 은행도 대외적으로 거래 플랫폼을 개방하여 사용자가 로그인하고, 가격을 보고, 주식을 매매할 수 있도록 해야 한다. 이러한 비즈니스는 외부, 제 3 자, 내부의 중요한 정보와 관련된 매우 복잡하며 고려해야 할 보안 문제가 많습니다.
제 3 자로부터 메시지를 받을 때, 제 3 자가 은행의 내부 정보를 얻을 수 없도록 상대방에게 메시지를 보낼 수 밖에 없다. (알버트 아인슈타인, 지식명언) 통제는 일방적이므로 중간에 실수를 해서는 안 된다. 해커가 잠입하여 가짜 뉴스를 발표하면 시장은 심각한 영향을 받을 것이다. 제 3 자의 데이터가 변경되지 않고 제 3 자의 전송이 중단되지 않도록 보장하는 것은 기술적인 문제가 아닙니다. 단순히 기술적 관점에서 안전을 고려하는 것은 종종 안전하지 않다.
외부에서는 사용자를 통제하는 방법에 관한 몇 가지 규칙이 필요합니다. 예를 들어, 사용자가 비밀번호를 세 번 잘못 입력하면 로그인할 수 없고 다른 인증을 받아야 다시 로그인할 수 있습니다. 이 규칙들은 외적인 것이 아니라 내면적인 것이다. 사용자가 들어올 때 해커를 막기 위해 IPS 와 방화벽이 있는지 여부, 네트워크 서버가 백업이 필요한지 여부 등을 고려해야 합니다.
은행 데이터베이스의 경우 관리자는 사용자의 개인 데이터를 볼 수 없으며 데이터베이스만 관리할 수 있습니다. 데이터베이스와 네트워크 서버 사이에 보안 메커니즘을 추가해야 하는지 여부, 사용자 데이터의 보안을 보장하기 위한 인증 방법 등이 필요합니다. , 이러한 규칙을 개발하는 것은 실제로 어렵습니다.
CSO 도 기술을 알아야 한다. 물론 기술적 요구 사항은 그리 강하지 않지만, CSO 는 새로운 취약점과 새로운 공격이 무엇인지, 보호 방법, 보안 요구 사항을 충족하는 방법을 알아야 합니다.
예를 들어, 기업은 방화벽을 구입, CSO 는 방화벽을 설치 하는 이유를 알고 있어야 하지만, 또한 설치 하는 방법을 알고, 한 영역에 네트워크 서버와 메일 서버를 집중 하는 방법, 내부 영역에서 분리, 회사의 내부 영역을 보호 하기 위해.
이제 IPS 가 보급되었습니다. CSO 는 IPS 를 어떻게 사용하는지, 어디에 두는지, 어떤 네트워크가 중요한지, 해커를 들어오게 할 수 없다는 것을 알아야 합니다. 이것들은 모두 반드시 알아야 할 기술적인 것들이다.
CSO 는 종합적인 지식, 회사의 운영 이해, 법률 지식이 있어야 한다.
예를 들어, 은행의 CSO 는 은행의 각 부문의 보안 수요가 다르기 때문에 CSO 가 잘 알아야 이해할 수 있다. 지식은 단지 기술을 의미하는 것이 아니다. 그는 특정 부서가 어떻게 운영되는지 알고 모든 부서의 안전을 보장하기 위해 기술 역량을 활용해야 한다. CSO 도 법률 지식이 필요하다. 은행의 각 부문마다 관련된 법률이 다르기 때문에 그도 이런 지식이 필요하다.