百家智库 | 项目:CSO知识体系及技能树2021版
2021年7月,以网络安全甲方专家为主的“百家智库”正式建立并公开招募。智库以务实又持续的机制和方式,向诸子云会员个人、所在企业及行业、网络安全产业,以及各类关注并从事网络安全相关工作的机构和个人,提供侧重最佳实践的价值输出,具体包括观点输出、专业分享、课题项目、调查报告、联合出版、顾问高参等方式或形式。
作为“百家智库”社群活动计划的一个部分,“诸子项目”第一期的成果已陆续于近日提交。第一期“诸子项目”共有13个,涵盖CSO知识体系、个人信息保护、红蓝对抗、渗透测试、数据安全、数字钱包、风险管理、安全开发、物联网安全等领域。
今天我们要介绍的项目,是安全人员最高岗位首席安全官(CSO)所必需的理论知识和技能框架——《CSO知识体系及技能树》2021版。(获取方式见文末)
CSO知识体系及技能树
本项目由诸子云特聘专家自组项目组独立完成。
项目内容:“CSO知识体系及技能树2021版”顾名思义,是安全人员最高岗位首席安全官(CSO)所必需的理论知识和技能框架。
项目经理
赵锐
某跨国企业安全和合规负责人、诸⼦云上海会长、历任多家⾦融机构、世界500强企业的安全负责⼈、安全专家、专利发明⼈。有近20年资深科技风险、信息安全、数据安全、业务安全经验。
项目成员
黄少琪
某运营商信息安全专家,负责企业信息内容安全平台、反诈、数据安全保障体系建设,负责等级保护与定级备案合规⼯作,参与5G相关安全保障⼯作。
惠量
某⾦融机构安全从业⼈员,曾就职于太平洋保险、华夏银⾏等企业,长期从事⽹络安全体系建设、安全项目建设和安全运营类⼯作。
李扬
某⾦融科技机构安全合规负责⼈,主要负责企业安全体系建立与运营,App与数据安全合规治理,安全认证的获取与维持⼯作。
孙琦
某A+H股上市公司信息安全负责⼈,全面负责集团信息安全领域⼯作。
童越灵
拉格代尔(北亚)信息安全经理。长期零售/快消⾏业信息安全体系建设和治理经验。历任家乐福(中国),麦德龙(中国),GAP(⼤中华),资⽣堂(中国)信息安全负责⼈。擅长信息安全体系建设,信息安全治理/管理和零售/快消类⾏业的信息安全控制。
于闽东
蓝光集团IT总监,主要负责IT规划及审计、安全运营、系统运维及公司内部数字化转型接口人
在此感谢参与项目工作的专家。由于时间仓促,存在很多不足的地方,请大家批评指正。欢迎大家提供修改意见,可发送邮件到下面邮箱:ddsmr119@126.com
我们谨代表中国企业网络安全专家联盟(诸子云),感谢所有为本报告提供时间和反馈的专家及个人。我们珍视您的志愿者贡献,相信像您这样的志愿者将继续引领诸子云走向未来。
项目概览
在企业全面风险治理中,合规风险与信息科技风险往往是互相缠绕的,在企业安全的建设过程中,如果有重技术轻法规的认知,对未来业务的发展,将埋下诸多隐患。企业信息安全风险属于信息科技风险的一部分,作为CSO安全合规是必不可少的工作内容。
信息系统业务安全服务资质是信息化建设企业在信息化项目建设中提供服务的一种能力标定,不涉及技术及产品标准,重点强调信息化建设企业的行业服务方向、安全服务意识和专业服务能力。
对组织的负责人而言,CSO是眼睛,帮负责人看到他看不到的问题;对组织的各个部门而言,CSO是摄像头,帮助各部门发现安全隐患,所以风险管理是CSO不可或缺的能力。风险管理模块教你如何建立风险管理组织,确定信息安全风险管理的基本准则,定义其范围和边界,做好前期预防;同时在风险出现时妥善评估、处置,积极沟通,以日常监视和定期评审取代事后救火的行为模式。
CSO是整个企业安全治理结构的设计者和践行人。CSO需要根据企业战略和IT战略来规划企业安全战略和提升企业的安全能力成熟度,安全治理框架从安全战略、安全目标、安全框架与组织等多维度来阐释。
为什么要重新做CSO知识体系及技能树?
赵锐笑道,“这个世界唯一不变的就是变化,社会一直在更新迭代,对于CSO的要求也在不断更新,越来越丰富”。所以本次项目是在2019年诸子项目《CSO知识体系》的基础上,基于社会和环境的变化,进一步进行了更新完善。
赵锐表示,在诸子去社群招募项目成员时,大家就非常踊跃。组成项目团队后,各项目成员都基于工作实践和自身所熟悉的领域提出了更新和完善的建议。基于大家的建议,进行了团队分工,分别完善各模块并且相互进行交叉审核。整体过程非常顺利,大家都按计划开会完成各自的工作。和2019年比,有较突出的更新和完善。社会和组织对于CSO的要求一直在变化,在项目过程中,大家发现原来单一的“CSO知识体系”无法承载CSO的能力要求,所以增加了《CSO能力体系》。对此结果比较满意。
赵锐称虽然大家的时间和精力都非常有限,但是都能安排好自己的工作和生活来参与诸子项目。他非常感谢所有参与诸子项目的成员,并希望可以持续开展并基于变化更新已有诸子项目,让已有项目变成系列项目。同时,赵锐希望通过诸子项目,让大家进一步认识项目成员和理解项目成果,并且共同学习成长,得到更好地发展。
如何获取这份资料?
目前,诸子云第一季至第三季的所有项目成果,均已上传至诸子云星球。随着百家智库第一期“诸子项目”的展开,所有项目成果也将陆续上传。除此之外,知识星球中还存有大量行业前沿报告等资料。现在加入诸子云知识星球,便可提前下载,领先他人一步,纵览全局,占据竞争高地。
诸子云星球“矿产资源”(标签)主要包括:
►#项目:诸子云会员协作项目成果;
►#活动:诸子云相关活动议题材料;
►#报告:安在发布及诸子云相关调查报告;
►#资料:相关群里分发的各类有价值资料;
►#话题:会员群话题讨论的分类整理;
►#讲堂:直播相关,课件、补充材料等;
►#社群:社群管理相关,介绍、月报等;
►#厂商:厂商可以在此标签下发布介绍、解决方案、案例等材料。
除上述“矿产资源”,加入诸子云星球,还可获得如下福利:
1.参加“安在讲堂”精品课程折扣;
2.购买安在出品包括调查报告、征文文集在内各类知识商品的优惠;
3.优先参加安在组织的各类线下活动。
另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。
本期项目一览
百家智库 | 项目:关于安全需求与安全设计活动执行情况的调研
百家智库 | 项目:第三方SDK安全合规分析报告
百家智库 | 项目:数据安全治理平台系统建设调研分析报告
百家智库 | 项目:红蓝对抗通用框架研究报告
百家智库 | 项目:企业攻击面分析与应对指南
百家智库 | 项目:2021TISAX汽车行业信息安全可靠性评估
百家智库 | 诸子项目:13个项目发布招募并实施
过往项目荐读