План CISO на 2019 год (чек-лист)

План CISO на 2019 год (чек-лист)
Алексей Лукацкий выложил в блоге свой вариант чек-листа « План CISO на 2019 », но мне он показался, честно говоря, не очень удачным:
  1. Задачи не конкретны (а это является грубым нарушением идеи чек—листов). Как я пойму, что «я научился составлять и обосновывать бюджет», «начал готовиться к 2020му году» или «научился общаться с бизнесом»?
  2. Задачи слишком разной сложности, что тоже не слишком хорошо включать в один чек-лист. Смотрите, «Разработать стратегию и план реагирования на инциденты» как бы сильно отличается от задачи «составить свои отличительные (конкурентные) особенности».
  3. В кучу намешаны прикладные задачи ИБ и задачи личного развития. Имеет смысл группировать по темам.
Отдельно странно, что в прошлой редакции аналогичного чек-листа  от Алексея таких проблем не было, чек-лист был именно чек-листом, и рекомендации были достаточно конкретными.

Как любит повторять сам Алексей: "Критикуешь – предлагай". 
Вот мой краткий вариант чек-листа:

Управление ИБ:
1. Создать Комитет по информационной безопасности
2. Составить перечень заинтересованных лиц и определить их требования и ожидания от ИБ
3. Определить и согласовать цели ИБ
4. Составить перечень информационных активов

Реализация ИБ:
5. Разработать Политику допустимого использования активов
6. Разработать Процедуру управления инцидентами
7. Разработать программу обучения и повышения осведомленности сотрудников по вопросам ИБ
8. Пересмотреть и актуализировать права доступа к ИС
9. Провести внутренний аудит ИБ

Личное развитие CISO:
10. Пройти 1 курс обучения (по ИБ и/или менеджменту)
11. Написать 2 статьи про ИБ
12. Посетить 3 профессиональные конференции по ИБ

Как и Алексей, я сделал этот чек-лист и картинкой и файлом PDF (его можно скачать в группе в ВК ). 
Ну, а еще один (и более широкий) варианта годового чек-листа CISO вы можете посмотреть в моей заметке " Внедрение СУИБ: Чек-лист по процессам ".

Кстати, было бы интересно посмотреть на ваши варианты чек-листа для CISO на 2019 год. Присылайте мне свои варианты на prozorov.info@gmail.com с темой "Чек-лист для CISO". Лучшие варианты опубликую в блоге, может еще и приз какой-нибудь придумаю...
Alt text

Andrey Prozorov

Информационная безопасность в России и мире