CISO(首席信息安全官)的作用是为企业提供整体的安全路线图,其中很重要的一环就是保护网络。网络是企业IT部门管理的所有应用程序和数据的基础,使其成为部署安全工具的主要目标。CISO必须了解企业计划如何利用数据网络。基于这些信息,CISO可以创建一个安全框架,使企业能够以最小的风险执行所需的任务。尽管CISO不负责部署安全框架中列出的实际网络安全技术,但如果CISO具有IT网络或网络部署方面的技术背景,将更有利于实施安全计划。同时,CISO还需要一定的软技能来帮助将安全策略和信息传达给企业员工、承包商等。沟通技巧也将使承担这些职责的安全主管受益。例如,CISO必须经常向缺乏技术背景的公司高管解释数据安全的重要性以及如何部署数据安全流程。CISO必须能够提出可以理解的事实,说明在当前生产网络中可以实现什么,不能实现什么。这要求CISO深入了解总体业务需求以及这些需求与IT网络及其相关基础设施的关系。CISO的一项重要职责是确保数字资产的安全。由于网络几乎是所有IT相关项目的一部分,因此CISO必须不断向业务主管和利益相关者解释网络安全的工作原理。同时,当对网络进行任何重大更改时,CISO需要了解进展情况,以便建立流程以确保实施这些更新。最后,CISO还需要帮助了解适用于公司垂直行业的各种合规性法律。网络安全团队必须遵守这些法律,尤其是当敏感的客户、患者或合作伙伴数据在网络上传输或存储时。CISO必须参与这部分工作,以确定需要合规的网络部分。当敏感数据通过网络传输时,CISO负责验证适当的数据保护机制是否到位。
