Értékelés:
A könyv az információbiztonsági vezetők (CISO-k) elismert forrása, amely hangsúlyozza a magas szintű elmélet és az információbiztonsági programok gyakorlati végrehajtásának összekapcsolásának fontosságát. Különösen hasznos a kezdők számára, de a tapasztaltabb szakemberek számára hiányozhat belőle a mélység. A szerzők a területen szerzett széleskörű tapasztalataikkal a biztonságirányítás holisztikus szemléletét mutatják be, a konkrét termékajánlások helyett a programirányításra összpontosítva.
Előnyök:⬤ Egyedülálló betekintést nyújt a biztonsági programok tervezésébe és megvalósításába
⬤ jól megírt és gyakorlatias útmutató
⬤ valós forgatókönyveket kínál
⬤ a holisztikus megközelítést hangsúlyozza a kizárólag technológiai szempontokkal szemben
⬤ tapasztalt szakemberek írják
⬤ hasznos a kiberbiztonsági menedzsment kezdő szakemberei számára.
⬤ Nem nagyon koncentrál a kiforrott biztonsági modellekre
⬤ a tapasztalt CISO-k számára talán nem nyújt elég mélységet
⬤ hiányoznak a biztonsági ellenőrzésekre vonatkozó konkrét ajánlások
⬤ az olvasónak önállóan kell értelmeznie és alkalmaznia az útmutatást.
(8 olvasói vélemény alapján)
The CISO Handbook: A Practical Guide to Securing Your Company
A CISO kézikönyv: A Practical Guide to Securing Your Company (Gyakorlati útmutató a vállalat biztonságához) egyedülálló betekintést és útmutatást nyújt az információbiztonsági program megtervezéséhez és végrehajtásához, valódi értéket nyújtva a vállalat érdekelt feleinek. A szerzők számos alapvető, magas szintű koncepciót mutatnak be, mielőtt egy olyan szilárd keretrendszert építenének fel, amely lehetővé teszi a koncepcióknak a vállalati környezetre való leképezését.
A könyv egy következetes módszertant - Értékelés, tervezés, tervezés, kivitelezés és jelentés - követő fejezetekből áll. Az első fejezet, az Assess (Értékelés) azonosítja azokat az elemeket, amelyek az infosec programok szükségességét meghatározzák, lehetővé téve az üzleti és szabályozási követelmények elemzését. A Plan azt tárgyalja, hogyan építse fel a program alapjait, lehetővé téve a vezetői megbízás, a jelentéstételi mérőszámok és a meghatározott szerepeket és felelősségi köröket tartalmazó szervezeti mátrix kidolgozását. A Tervezés bemutatja, hogyan építse fel a meghatározott üzleti célkitűzések eléréséhez szükséges irányelveket és eljárásokat, elmagyarázza, hogyan végezzen hiányelemzést a meglévő környezet és a kívánt végállapot között, hogyan határozza meg a projektkövetelményeket, és hogyan állítsa össze a durva költségvetést. A Végrehajtás a biztonsági projektek végrehajtásához szükséges sikeres végrehajtási modell létrehozását hangsúlyozza a közös üzleti korlátozások hátterében. A jelentés a külső és belső érdekeltek felé történő kommunikációra összpontosít, a különböző célcsoportoknak megfelelő információkkal.
Minden fejezet egy áttekintéssel kezdődik, amelyet az alapfogalmak követnek, amelyek kritikus sikertényezők a bemutatott anyag megértéséhez. A fejezetek tartalmaznak egy Módszertani részt is, amely az adott fejezet céljainak eléréséhez szükséges lépéseket ismerteti.
