Voditelj informacijske sigurnosti (CISO) osoba je zadužena za sigurnost informacija i podataka u organizaciji. Uspostava te funkcije postala je standard u današnje vrijeme, posebno kod organizacija koje su dužne uspostaviti informacijsku sigurnost poradi regulatora ili certifikacije sukladno ISO 27001 normi. Neke od aktivnosti i odgovornosti voditelja informacijske sigurnosti uključuju:

  • Uspostava i održavanje sustava informacijske sigurnosti
    Uspostava i održavanje sustava informacijske sigurnosti, od faze planiranja, implementacije, provjere i održavanja sustava koristeći svjetski priznate norme i dobre prakse.
  • Briga o efikasnosti sustava informacijske sigurnosti
    Briga o efikasnosti sustava informacijske sigurnosti organizacije, slijeđenja internih akata, vezanih zakona i regulative, te vršenje redovitih nadzora i kontrola
  • Upravljanje rizicima informacijske sigurnosti
    Upravljanje rizicima informacijske sigurnosti kroz identifikaciju, procjenu i obradu rizika vezanih uz informacijsku sigurnost i kontinuitet poslovanja.
  • Predlaganje poboljšanja sigurnosnih kontrola
    Predlaganje poboljšanja postojećih sigurnosnih kontrola i procesa prema potrebi, te pregled, poboljšanje i pisanje vezanih politika, procedura i radnih uputa.
  • Praćenje aktivnosti informacijske sigurnosti
    Praćenje aktivnosti vezanih uz informacijsku sigurnost (pregled dokumenata, uređivanje, predlaganje, verifikacija, izvještavanje…)
  • Redovito praćenje sigurnosnih trendova
    Redovito praćenje sigurnosnih trendova, aktualnih prijetnji i ranjivosti osigurava da je izloženost organizacije na prihvatljivoj razini.
  • Osigurati kontinuitet poslovanja
    Osigurati da da je kontinuitet poslovanja uspostavljen, da se redovito provjerava i da je sukladan s važećom regulativom i stvarnim potrebama organizacije.
  • Upravljanje incidentima informacijske sigurnosti
    Upravljanje incidentima informacijske sigurnosti kroz prikupljanje informacija o izloženosti incidentima, praćenju rješavanja i sprječavanju njihovog ponavljanja.
  • Redovito izvještavanje Uprave organizacije
    Redovito izvještavanje Uprave organizacije o stanju informacijske sigurnosti, incidentima, rizicima i ranjivostima kroz redovite i izvanredne izvještaje.
  • Priprema dokumentacije i izvještaja za revizije
    Tijekom revizija sustava informacijske sigurnosti i informatičkog sustava, voditelj pomaže u pripremi dokumentacije i sudjeluje na sastancima revizije po potrebi.
  • Izrada i održavanje dokumentacije sustava
    Izrada i održavanje dokumentacije informacijske sigurnosti i kontinuiteta poslovanja, predlaganje poboljšanja, kontrola slijeđenja.
  • Edukacija i informiranje zaposlenika
    Edukacija i informiranje zaposlenika organizacije o informacijskoj sigurnosti kroz radionice, seminare, te edukaciju kroz elektroničke medije.