CSO和CIO的工作都同信息密切相關,但是2者的最大區別在於,CSO不僅要負責企業的IT應用系統的設計和規劃,更重要的職責在於要負責整個機構的安全運行狀態,即物理安全和數字信息安全。
具體說,CSO的職能通常包括如下幾點:
1. 對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、知識產權和計算機系統安全。
2. 確定保護目標和保護制度與公司戰略計劃相壹致。
3. 制定及執行區域以及全球的安全政策、安全標準、指導方針和執行程序,以保證持續解決安全問題。信息保護的職責包括:網絡安全結構、網絡訪問和政策監控以及員工培訓。
4. 向調查安全缺口那樣全面監控事件影響計劃,如有必要必須幫助安全缺口部門完善培訓計劃和法律方面事宜。
5. 像獨立安全審計顧問那樣,與外部安全顧問壹起工作。
6. 制定全面的風險管理策略,並確保策略的執行。了解當前以及未來可能存在的風險,並且必要時根據風險和威脅的變化及時調整策略。
7. 全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,以便產品出現問題時及時發現並解決問題。
8. 進壹步完善災難恢復,業務連續性策略,通過每壹個業務單元的***同努力,確保我們擁有壹個整合性良好的計劃和策略。
9. 物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。