Что такое управление информационной безопасностью и чем оно не является
Управление ИТ-безопасностью — это система, с помощью которой организация направляет и контролирует ИТ-безопасность (адаптировано из ISO 38500). Управление ИТ-безопасностью не следует путать с управлением ИТ-безопасностью. Управление ИТ-безопасностью связано с принятием решений по снижению рисков; управление определяет, кто уполномочен принимать решения. Руководство определяет структуру подотчетности и обеспечивает надзор для обеспечения надлежащего снижения рисков, в то время как руководство обеспечивает внедрение средств контроля для снижения рисков. Руководство рекомендует стратегии безопасности. Управление обеспечивает соответствие стратегий безопасности бизнес-целям и нормативным требованиям. SGRC
NIST описывает управление ИТ как процесс создания и поддержания структуры, обеспечивающей уверенность в том, что стратегии информационной безопасности согласованы с бизнес-целями и поддерживают их, соответствуют применимым законам и нормативным актам посредством соблюдения политик и внутреннего контроля, а также обеспечивают распределение ответственности во всем. в попытке управлять риском.
Управление корпоративной безопасностью является результатом обязанности руководства соблюдать фидуциарные требования. Эта позиция основана на судебном обосновании и разумных стандартах медицинской помощи.
Пять общих областей управления:
Управляйте операциями организации и защищайте ее критически важные активы
Защитить долю рынка и цену акций организации (возможно, не подходит для образования)
Регулировать поведение сотрудников (образовательные AUP и другие политики, которые могут применяться к использованию технологических ресурсов, обработке данных и т. д.)
Берегите репутацию организации
Убедитесь, что требования соответствия соблюдены