问:执行任务的安全团队在新的一年里将与法律部门更密切地合作,以确保我们的合规工作,违反程序,安全政策等,可以在需要时用来诉讼。对一个需要与企业律师一同工作的CISO(首席信息安全官),你能给我些建议和提醒吗?我需要知道哪些知识? 答:作为一名前首席信息安全官,如果我的主管授权让我与法律部门密切合作,我将激动不已!我过去曾做过的是定好时间,安排会议,然后仅仅是向法律部门解释为什么我们可以携手合作,一起来处理信息安全法律问题。 不管怎样,对首席信息安全官来说,这应被看作是一个令人兴奋的机会,可以扩大他或她与法律部门的交流。 那么,CISO应该和一群律师谈什么?坦率地说,主题范围从概括到……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:执行任务的安全团队在新的一年里将与法律部门更密切地合作,以确保我们的合规工作,违反程序,安全政策等,可以在需要时用来诉讼。对一个需要与企业律师一同工作的CISO(首席信息安全官),你能给我些建议和提醒吗?我需要知道哪些知识?
答:作为一名前首席信息安全官,如果我的主管授权让我与法律部门密切合作,我将激动不已!我过去曾做过的是定好时间,安排会议,然后仅仅是向法律部门解释为什么我们可以携手合作,一起来处理信息安全法律问题。
不管怎样,对首席信息安全官来说,这应被看作是一个令人兴奋的机会,可以扩大他或她与法律部门的交流。
那么,CISO应该和一群律师谈什么?坦率地说,主题范围从概括到具体。这里有几点想法:
1.CISO应该向总法律顾问及法律小组的主要成员介绍自己。这可以是简单一个小时的会议,比如在咖啡或午餐时间,谈谈自己的背景,经历,母校等。这也是一个很好的机会来比较各组织面临的关键挑战并寻求协同作用。
第一次会议是一个很好的时间来找出谁是法律部门的“极客”,即那些在计算机,网络,计算机安全等方面有兴趣或有背景的人。也许他们将成为今后会议的关键联络员。
2.了解CISO和法律团队在网络安全事件响应中一起工作的最佳方式。确定法律部门什么时候想要涉及进来,以及人力资源和公共关系可能在某些关键事故或事件中也会涉及进来(如数据泄漏,终止关键员工数据访问等)。
3.就信息安全和法律如何在一些问题(如萨班斯法案,支付卡行业的数据安全标准(PCI DSS),以及国家数据违反法律)上合作做一些深度工作。为满足和达到必要的要求,不仅要了解每个组织所扮演的角色,还要找出正确的“专家”,以解决在这些领域出现不同的问题。
4.确定当制定安全政策、标准、程序和准则时,法律团队和CISO应共同努力,一起工作。此外,看看CISO是否可以成为某些法律审查的一部分,从而确保任何小的信息安全问题都得到解决。
5.考虑进行这样的会议,比如“午餐和学习”,它可以在CISO和法律部门的办公室举行,让CISO和法律部门一起讨论最近的报告,如Verizon的数据泄露调查报告或最近发布的Verizon PCI分析。
当然,一旦交流开始,还有更多的话题需要讨论。
总的来说,对于高管团队让你与法律部门更密切的一起工作,我感到很高兴。这种持续的交流将为CISO带来很多益处,无论是在专业上还是个人上。
相关推荐
-
数据泄露事故诉讼:企业应该怎么做?
当发现有数据泄露事故发生时,企业应该调查发生了什么事情、修复安全漏洞、配合执法部门工作以及遵守通知法规,认真遵循这些步骤可帮助企业减少影响。
-
美新数据安全法案:故意隐瞒数据泄漏将获罪
美国民主党参议员重新提出了“数据安全和数据泄露事故通知法案,该法案规定对未能向消费者披露泄漏事故的企业高管进行严格惩罚,甚至监禁。
-
虚拟键盘数据泄露致数百万个人记录被曝光
因移动开发商Ai.type错误配置MongoDB数据库导致键盘数据泄露,在本次泄露事故中,数以百万计的个人记录被曝光。
-
警惕!垃圾邮件程序窃取7.11亿条记录
安全研究人员发现包含大量电子邮件地址和密码的垃圾邮件程序(spambot)列表,并称这表明我们需要更多地了解垃圾邮件程序业务。