CSO vs.CISO 一篇文章了解首席安全官

CSO，即首席安全官，主要負責信息安全、企業安全運行狀態或同時兼顧兩者。這是對「什麼是首席安全官？」這個問題最簡單的回答。但是，當然，沒有任何一份工作僅通過一句話就能概括其複雜性，而且也並非每個擁有CSO頭銜的人都承擔相同的職責。在不同的公司，CSO有不同的含義。有的負責保護物理安全，例如保護公司數據中心各種設備的安全；有些負責數字信息安全，例如防止公司網路遭到黑客的攻擊等等。

首席安全官（CSO）的頭銜首先主要用於信息技術職能部門，負責監控、協調公司內部的安全工作，包括信息技術、人力資源、通信、設備管理以及其他組織。在很多公司中，CSO這一角色仍然以這種方式發揮著作用。但是，對於現今社會而言，首席信息安全官（CISO）一職可能是對該職位更為準確的描述，且正日益流行起來。

同時，一些企業也將CSO的頭銜用於描述承擔「企業安全」職能的領導者，其主要負責員工、設施以及資產的物理安全等。更常見的是，這類人通常擁有諸如企業副總裁或企業安全總監之類的頭銜。歷史上，企業安全和信息安全是分別由單獨的部門負責處理的。

不過，漸漸地，CSO的含義得到了擴展：CSO主要負責整個企業的安全運行態勢，包括物理和數字安全。CSO還負責制定公司安全措施和安全標準。此外，CSO還需要經常舉辦或參加相關領域的活動，例如：參與跟業務連續性、預防損失、詐騙預防和保護隱私等議題的相關活動。

當然，在現實世界中也存在很多擁有官方CSO頭銜，卻並不承擔上述職責的人員。但是，正如首席執行官（CEO）在遇到財務問題時，會希望「首席財務官」（CFO）能夠快速給出答案一樣，首席執行官也希望CSO們能夠全面了解企業的運營情況，並在遇到安全問題時，能夠快速做出響應，而不是用「哦，那不是我的問題」、或「那是其他人的職責範疇」來搪塞問題。

通過與正在從事這項工作的人員，以及一些負責招聘此類人員的專家進行交流後，下面讓我們來深入了解一下這個職位的實際情況。

首席安全官（CSO）定義

對於首席安全官需要具備什麼能力，Amanda Fennell給出了更高層次的觀點。她認為，「現代CSO是企業的探索者和解決問題的人，他們需要與各種IT和工程團隊緊密合作，以便在快速變化的合規和治範圍內設計、制定策略，並執行全方位的計劃。」

這種觀點很有趣，但不免有些抽象。實際上，CSO的工作職責究竟包含哪些呢？或者，更簡潔地說：CSO需要做什麼呢？Sungard AS公司CSO Shawn Burke表示，「我主要負責制定保護人員、信息資產和技術的企業願景、戰略和計劃。最終目標是，保護能夠為企業提供價值的安全功能安全運行。」

我們都明白，對於CSO而言，最重要的一點是要為企業創造一種方式，讓企業將安全視為其戰略資產和其使命的一部分，而不僅僅是發揮事後彌補或破壞控制的功能。LaSalle Network公司技術團隊招聘負責人Paul Wallenberg，主要負責為從未有過CSO的企業招聘相關人員，其從企業管理層的角度看出了設置CSO一職的目的和意義。

「

如今，頻發的網路攻擊和泄漏事件讓公司意識到了重視網路安全問題的迫切性。對於企業而言，更主動的方法是要考慮自身擁有的數據，以及這些數據一旦發生泄露將以何種方式對其客戶和業務開展造成重大威脅。如果在沒有制定合適戰略的情況下遭遇泄露，又將造成何種後果？一旦意識到上述問題，必將驅動公司董事會和高管層僱傭一名CSO的決策。

如何成為一名首席安全官（CSO）？

LaSalle Network公司的Wallenberg對於客戶企業在招聘CSO時所要求的職業資格進行了如下概述，「企業在招聘CSO時，最看重的一點是其需要具備嫻熟的安全技術和廣泛的實踐經驗。CSO的技術背景可以是來自之前的工作經驗，如擔任工程師、架構師，或從事涉及SIEM、身份管理以及威脅情報等方面的工作；也可以是來自功能性的技術背景，如親自參與管理、風險和合規性任務的經驗等。」

另外，某些行業對於那些具備白帽子或道德黑客經驗的CSO也充滿興趣。簡單來說，想要入主C級管理層一定需要具備很多的經驗，而且既然是作為安全部門的高管層，一定要有豐富的技能和實踐經驗，例如在大型組織中參與制定過影響應用程序、基礎架構以及外部威脅的安全計劃和舉措。此外，還需要與行業供應商、情報界以及學術界保持親密聯繫等。

除此之外， CSO還需要證明其超出具體技術能力和工作軌跡的資質。CSO必須了解複雜的戰術目標如何有助於全面保障組織的戰略執行，同時還要尊重內部利益相關者的隱私和信任。雖然強大的技術背景對於做出明智抉擇具有很大的幫助，但是熱情/激情對於解決信息安全領域不斷湧現的新問題也是至關重要的。

最近，我們發現安全領導者開始從只專註技術細節向更注重商業導向方面轉變。雖然，CSO首先應該能在技術上勝任，但是他們也需要能夠向利益相關者解釋清楚其各方面的工作，例如其風險管理方法等。從本質上講，CSO需要成為高級領導層值得信賴的安全顧問。因為只有當CSO具備良好的人際關係和領導才能時，其才能更好地實現工作職能。

目前，很多企業也仍然沒有設置首席安全官（CSO）一職，當然，這也為內部員工創造了一條行政級別晉陞路徑。在IT環境中，安全是整個部門內部的能力而非專屬於該部門的能力，擔任CSO角色的人員應該是整個企業中對於安全性了解最為深入的人。就外部候選者而言，他們通常都是安全架構師方面的專業人員，或是在安全項目或基礎架構上擔任總監或副總裁級別的人員，他們通常並沒有企業內部相關人員對於企業安全現狀了解得更為透徹。

CSO負責向誰報告？

根據《2018年全球信息安全狀況調查》報告顯示，多達40%的CSO和CISO向公司的首席執行官報告；27%的直接向董事會報告；而只有24%的向CIO（首席信息官）報告。將CSO置於CIO之下有助於確保與技術交付模式的緊密結合，但是也可能存在指責分割的問題。以「一款應用程序即將推出但存在已知安全漏洞」為例，CIO的業績獎金可能與按時交付應用程序有關；而CSO的業績獎金卻與安全漏洞和數據泄露有關。在這種情況下，做出什麼決策就成了值得商榷的問題：是要延遲應用程序發布日期並推出修復程序；還是接受風險，並繼續推出帶有已知漏洞的應用程序，日後再進行修復。

如果CSO直接向首席執行官報告，其主要好處是，CSO能夠在推動變革方面發揮更高程度的影響力。而另一方面，由於首席執行官職責甚廣，可能與CSO溝通的時間有限。雖然在CSO應該向誰報告的問題上存在很多不同的意見，但是不可否認的是，直接向CSO報告顯然具有更多優勢，因為這使得CSO能夠有效地消除障礙，並與整個公司的戰略保持一致。

但是，無論CSO最終會向誰報告，高管團隊都應該參與整個決策過程。因為與CSO交互最深的就是企業的首席運營官（COO）和首席信息官（CIO），所以他們應該親自參與面試和選拔。

CSO工作描述

CSO將負責監督和協調整個組織的安全工作，包括信息技術、人力資源、通信、法律、設施管理以及其他團隊等，此外，CSO還要幫助企業確定安全戰略和標準。其具體工作職責如下所示：

領導操作風險管理活動以提升公司和品牌的價值；

對負責保護企業資產、知識產權和計算機系統安全的安全機構和服務提供商進行監控；

監控保護員工和訪客的物理安全；

確定保護目標和保護制度與公司的戰略計劃保持一致；

制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程序，以保證持續解決安全問題；

物理保護職責包括資產保護、工作場所暴力防禦、訪問控制系統以及視頻監控等等；信息保護職責包括網路安全結構、網路訪問和政策監控以及員工培訓等等；

像調查安全缺口那樣全面監控事件響應計劃，如有必要必須幫助安全缺口部門完善培訓計劃和法律方面的事宜；

像獨立安全審計顧問那樣，與外部安全顧問一起工作;制訂全面的風險管理策略，並確保策略的執行；

了解當前以及未來可能存在的風險，並且在必要時根據風險和威脅的變化及時調整策略；

全面監控產品的內部使用，並且確保工程小組與操作小組保持溝通，在產品出現問題時以便及時發現並解決問題；

進一步完善災難恢復/業務連續性策略，通過每一個業務單元的共同努力，確保我們擁有一個整合性良好的計劃和策略。

任職資格

CSO必須是一名聰明、溝通能力強且具有說服力的領導者，他可以擔任高級管理團隊的有效成員，並且能夠將安全相關概念傳達給廣泛的技術和非技術人員；

CSO應該具有業務連續性規劃、審計和風險管理以及合同和供應商談判等方面的經驗；

CSO必須深度了解相關法律和執法部門工作流程；

CSO必須對信息技術和信息安全具有深入的了解。

首席安全官（CSO）薪資待遇

根據行業、企業以及候選人自身的相關經驗和任職期限不同，C級高管的薪酬也可能會大不相同。但是我們提供一個粗略的薪酬水平進行參考：

根據Payscale.com的一項調查結果顯示，CSO的薪酬範圍在68,208 美元至201,789 美元之間不等，平均薪酬為131,314美元。此外，還有獎金和利潤分紅，這部分資金可以高達80,000美元。而根據Salary.com的調查數據顯示，CISO的薪酬範圍通常在188,510美元至249,063美元之間，平均薪酬也高達215,739美元。

CSO vs. CISO

接下來我們將繼續討論首席安全官（CSO）和首席信息安全官（CISO）之間的差異，以幫助我們更好地明確CSO的職位描述。

如果有一套嚴格而明確的規則來區分CSO和CISO的職能差異就再好不過了，但事實卻並非如此，因為在實踐中，執行人員的確切職責是根據他們自身的經驗，以及其公司的具體需求而量身定製的。

對於該問題，Niall Browne非常具有發言權，因為他是Domo公司的CISO，同時還在其他公司擔任CSO一職。他表示，「傳統意義上，CSO主要負責員工、資產以及設施的物理安全，並且可能還需要有一定的執法背景；而CISO則主要負責數據保護工作，並且可能還需要具備IT、系統以及工程方面的技術背景。」

Relativity公司的Fennell也對此表示認同，她說，根據定義，CSO的角色更具包容性，其主要責任包括保護公司的物理、網路和產品安全；而CISO在傳統意義上則側重於負責保護公司重要信息的角色。但是不得不承認，區分這兩者的界限非常模糊。事實上，CSO和CISO的頭銜經常互換使用，而公司具體使用哪種頭銜更多地是說明該公司的關注重點，而不是明確地定義角色責任。

正如威脅場景正在不斷演變，同樣地，安全形色也在隨之發生變化。如今，通過設施/工具來管理物理安全已經變得更為典型，這些負責管理物理安全的人員也被冠以企業安全總監的頭銜，而CISO/CSO職位則特指那些負責網路安全的個人。這種演變很有意義，因為管理物理安全和網路安全的技能在很大程度上是不同的。行業中大多數CISO/CSO都不願意管理物理安全，或者堅信只要專註於網路安全，他們就能為企業實現最大的收益。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！