虚拟 CISO(vCISO)
虚拟 CISO(vCISO) 是什么?
虚拟 CISO(vCISO)以兼职或合同方式聘用的资深安全负责人,为没有专职 CISO 的组织提供 CISO 级别的战略、治理与风险监督。
虚拟 CISO(vCISO)是以兼职或项目制方式履行首席信息安全官职责的资深安全专家。典型合作模式为每周每客户 1~3 天,服务对象包括中小企业、为 SOC 2 或 ISO 27001 做准备的高速成长公司,以及需要过渡领导的大型企业。vCISO 负责搭建安全体系、开展风险评估、编写制度、向董事会汇报,并作为对监管机构与客户挂名的 CISO。他们通常持有 CISSP、CISM 或 CCISO 证书,具备 15~20 年以上的甲方经验。目前越来越多的 vCISO 服务通过 MSSP 与咨询公司以产品化平台的方式交付。
● 示例
- 01
一家 50 人的 SaaS 创业公司每周聘用 vCISO 两天,以推进 SOC 2 Type II 合规准备。
- 02
某银行在为期六个月的正式 CISO 招聘期间聘请过渡型 vCISO。
● 常见问题
虚拟 CISO(vCISO) 是什么?
以兼职或合同方式聘用的资深安全负责人,为没有专职 CISO 的组织提供 CISO 级别的战略、治理与风险监督。 它属于网络安全的 角色与职业 分类。
虚拟 CISO(vCISO) 是什么意思?
以兼职或合同方式聘用的资深安全负责人,为没有专职 CISO 的组织提供 CISO 级别的战略、治理与风险监督。
虚拟 CISO(vCISO) 是如何工作的?
虚拟 CISO(vCISO)是以兼职或项目制方式履行首席信息安全官职责的资深安全专家。典型合作模式为每周每客户 1~3 天,服务对象包括中小企业、为 SOC 2 或 ISO 27001 做准备的高速成长公司,以及需要过渡领导的大型企业。vCISO 负责搭建安全体系、开展风险评估、编写制度、向董事会汇报,并作为对监管机构与客户挂名的 CISO。他们通常持有 CISSP、CISM 或 CCISO 证书,具备 15~20 年以上的甲方经验。目前越来越多的 vCISO 服务通过 MSSP 与咨询公司以产品化平台的方式交付。
如何防御 虚拟 CISO(vCISO)?
针对 虚拟 CISO(vCISO) 的防御通常结合技术控制与运营实践,详见上方完整定义。
虚拟 CISO(vCISO) 还有哪些其他名称?
常见的别称包括: 分时 CISO, vCISO。
● 相关术语
- roles№ 165
首席信息安全官(CISO)
对组织信息安全战略、风险态势与事件响应能力负责的高级管理人员,通常向 CIO、COO 或 CEO 汇报。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
- compliance№ 1063
SOC 2
由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
- roles№ 990
安全架构师
负责为企业、云与产品端到端设计"安全内建"架构的资深技术人员,将风险与合规要求转化为具体的技术模式与控制措施。
- roles№ 992
安全意识培训师
负责设计、交付并衡量安全意识培养项目的专业人员,帮助员工识别并抵御钓鱼、社工以及其他针对人这一层面的威胁。