Information Security Officer – ISO

1. Dezvoltarea programului de securitate

• Dezvoltarea, implementarea și menținerea unui program cuprinzător de securitate a informațiilor, aliniat la cadrele și standardele din industrie (ex.: ISO 27001, NIST)
• Definirea și actualizarea politicilor, standardelor și procedurilor de securitate
• Realizarea periodică a evaluărilor de maturitate și promovarea îmbunătățirii continue
• Monitorizarea și evaluarea măsurilor de securitate implementate pentru serviciile și produsele dezvoltate de companie, pe întreg ciclu lor de viață

2. Managementul răspunsului la incidente

• Gestionarea și actualizarea Planului de Răspuns la Incidente (Incident Response Plan – IRP)
• Coordonarea activităților de gestionare a incidentelor: detectare, izolare, eliminare, recuperare și analiză post-incident
• Coordonarea investigațiilor criminalistice (forensic) și a documentației aferente

3. Continuitatea activității și managementul crizelor

• Dezvoltarea și menținerea Planului de Continuitate a Activității (Business Continuity Plan – BCP) și a cadrului de management al crizelor
• Coordonarea analizelor de impact asupra afacerii și a exercițiilor de continuitate
• Oferirea de suport decizional și leadership în situații de criză pentru asigurarea rezilienței operaționale

4. Evaluarea și managementul riscurilor

• Realizarea periodică a evaluărilor de risc de securitate pentru sisteme, proiecte și terți
• Identificarea amenințărilor, vulnerabilităților și a impactului potențial asupra afacerii
• Dezvolatrea măsurilor de reducere a riscurilor și menținerea registrului de riscuri de securitate

5. Managementul vulnerabilităților

• Dezvoltarea și coordonarea programului de management al vulnerabilităților al organizației
• Coordonarea scanărilor periodice de vulnerabilitate, testelor de penetrare și evaluărilor de configurare
• Colaborarea cu echipele IT și de inginerie pentru prioritizarea remediilor în funcție de risc
• Urmărirea închiderii vulnerabilităților și asigurarea respectării SLA-urilor interne
• Monitorizarea fluxurilor de threat intelligence pentru evaluarea expunerii la vulnerabilități emergente

6. Conformitate și reglementări

• Asigurarea conformității cu reglementările aplicabile privind securitatea și protecția datelor (ex.: NIS2, GDPR, eIDAS, standarde de industrie)
• Coordonarea auditurilor interne și externe, evaluărilor și proceselor de certificare
• Menținerea documentației de conformitate și suport pentru raportările către autorități

7. Conștientizare și instruire în securitate

• Dezvoltarea și livrarea programelor de awareness și training în securitatea informațiilor
• Organizarea simulărilor de phishing, workshopurilor și instruirilor dedicate rolurilor cu risc ridicat
• Promovarea unei culturi organizaționale orientate spre securitate