在我们的管理顾问团队中,我们有几个重点领域。其中之一就是就信息安全提供建议。
我们使用“治理、风险和合规”(GRC)这一术语 来强调我们主要参与流程和人员方面,较少参与技术方面。我这样说有点夸张,因为我的同事确实技术精湛,必要时他们会咨询他们的同行专家,例如我们的道德黑客、安全编码 RCS 数据新加坡 员和 SIEM/SOC 专家。然而,为了我的论点,这次我将不太深入地讨论技术方面,而是在这个博客中重点讨论信息安全的“软”方面。
虽然我自己并不是专家,但我愿意与大家分享我的想法,因为我知道每个组织都需要实用的工具来以适当的方式讨论信息安全。对于那些认为任命一位首席信息安全官 (CISO) 就能处理一切的人来说,这篇文章值得一读。
对于 CISO 来说这可能不是什么新鲜事,但如果您像我一样不是专家但感兴趣,那么以下规则可以帮助您在组织内进行正确的讨论,尤其是与您自己的 CISO 进行讨论。毕竟,信息安全是每个人的责任,对吧?
迈克泰森
大多数组织都非常重视这个问题并制定了信息安全政策。如果您提出此要求,大多数情况下您会收到一份写得很整齐的政策文件,其中包括一份多年计划。到目前为止,一切都很好!但是,我听到您在想,当事情变得紧急时,这就足够了吗?迈克泰森给出了答案:不是。如果你不采取行动,计划就永远只是计划。是的,计划的存在都是有原因的,好的计划确实有效,但要最终取得成功还需要做更多的努力。我以武术为例,跟大家分享一下我的想法。一个很好的框架,可以相互讨论这一点,并确定您的组织是否正在尽一切努力为我们今天面临的数字风险做好最佳准备。
- Board index
- All times are UTC
- Delete cookies
- Contact us