CSO vs. CISO 一篇文章了解首席安全官

CSO，即首席安全官，主要負責資訊安全、企業安全運作狀态或同時兼顧兩者。這是對“什麼是首席安全官？”這個問題最簡單的回答。但是，當然，沒有任何一份工作僅通過一句話就能概括其複雜性，而且也并非每個擁有CSO頭銜的人都承擔相同的職責。在不同的公司，CSO有不同的含義。有的負責保護實體安全，例如保護公司資料中心各種裝置的安全；有些負責數字資訊安全，例如防止公司網絡遭到黑客的攻擊等等。

首席安全官（CSO）的頭銜首先主要用于資訊技術職能部門，負責監控、協調公司内部的安全工作，包括資訊技術、人力資源、通信、裝置管理以及其他組織。在很多公司中，CSO這一角色仍然以這種方式發揮着作用。但是，對于現今社會而言，首席資訊安全官（CISO）一職可能是對該職位更為準确的描述，且正日益流行起來。

同時，一些企業也将CSO的頭銜用于描述承擔“企業安全”職能的上司者，其主要負責員工、設施以及資産的實體安全等。更常見的是，這類人通常擁有諸如企業副總裁或企業安全總監之類的頭銜。曆史上，企業安全和資訊安全是分别由單獨的部門負責處理的。

不過，漸漸地，CSO的含義得到了擴充：CSO主要負責整個企業的安全運作态勢，包括實體和數字安全。CSO還負責制定公司安全措施和安全标準。此外，CSO還需要經常舉辦或參加相關領域的活動，例如：參與跟業務連續性、預防損失、詐騙預防和保護隐私等議題的相關活動。

當然，在現實世界中也存在很多擁有官方CSO頭銜，卻并不承擔上述職責的人員。但是，正如首席執行官（CEO）在遇到财務問題時，會希望“首席财務官”（CFO）能夠快速給出答案一樣，首席執行官也希望CSO們能夠全面了解企業的營運情況，并在遇到安全問題時，能夠快速做出響應，而不是用“哦，那不是我的問題”、或“那是其他人的職責範疇”來搪塞問題。

通過與正在從事這項工作的人員，以及一些負責招聘此類人員的專家進行交流後，下面讓我們來深入了解一下這個職位的實際情況。

首席安全官（CSO）定義

對于首席安全官需要具備什麼能力，Amanda Fennell給出了更高層次的觀點。她認為，“現代CSO是企業的探索者和解決問題的人，他們需要與各種IT和工程團隊緊密合作，以便在快速變化的合規和治範圍内設計、制定政策，并執行全方位的計劃。”

這種觀點很有趣，但不免有些抽象。實際上，CSO的工作職責究竟包含哪些呢？或者，更簡潔地說：CSO需要做什麼呢？Sungard AS公司CSO Shawn Burke表示，“我主要負責制定保護人員、資訊資産和技術的企業願景、戰略和計劃。最終目标是，保護能夠為企業提供價值的安全功能安全運作。”

我們都明白，對于CSO而言，最重要的一點是要為企業創造一種方式，讓企業将安全視為其戰略資産和其使命的一部分，而不僅僅是發揮事後彌補或破壞控制的功能。LaSalle Network公司技術團隊招聘負責人Paul Wallenberg，主要負責為從未有過CSO的企業招聘相關人員，其從企業管理層的角度看出了設定CSO一職的目的和意義。

如今，頻發的網絡攻擊和洩漏事件讓公司意識到了重視網絡安全問題的迫切性。對于企業而言，更主動的方法是要考慮自身擁有的資料，以及這些資料一旦發生洩露将以何種方式對其客戶和業務開展造成重大威脅。如果在沒有制定合适戰略的情況下遭遇洩露，又将造成何種後果？一旦意識到上述問題，必将驅動公司董事會和高管層雇傭一名CSO的決策。

如何成為一名首席安全官（CSO）？

LaSalle Network公司的Wallenberg對于客戶企業在招聘CSO時所要求的職業資格進行了如下概述，“企業在招聘CSO時，最看重的一點是其需要具備娴熟的安全技術和廣泛的實踐經驗。CSO的技術背景可以是來自之前的工作經驗，如擔任工程師、架構師，或從事涉及SIEM、身份管理以及威脅情報等方面的工作；也可以是來自功能性的技術背景，如親自參與管理、風險和合規性任務的經驗等。”

另外，某些行業對于那些具備白帽子或道德黑客經驗的CSO也充滿興趣。簡單來說，想要入主C級管理層一定需要具備很多的經驗，而且既然是作為安全部門的高管層，一定要有豐富的技能和實踐經驗，例如在大型組織中參與制定過影響應用程式、基礎架構以及外部威脅的安全計劃和舉措。此外，還需要與行業供應商、情報界以及學術界保持親密聯系等。

除此之外， CSO還需要證明其超出具體技術能力和工作軌迹的資質。CSO必須了解複雜的戰術目标如何有助于全面保障組織的戰略執行，同時還要尊重内部利益相關者的隐私和信任。雖然強大的技術背景對于做出明智抉擇具有很大的幫助，但是熱情/激情對于解決資訊安全領域不斷湧現的新問題也是至關重要的。

最近，我們發現安全上司者開始從隻專注技術細節向更注重商業導向方面轉變。雖然，CSO首先應該能在技術上勝任，但是他們也需要能夠向利益相關者解釋清楚其各方面的工作，例如其風險管理方法等。從本質上講，CSO需要成為進階上司層值得信賴的安全顧問。因為隻有當CSO具備良好的人際關系和上司才能時，其才能更好地實作工作職能。

目前，很多企業也仍然沒有設定首席安全官（CSO）一職，當然，這也為内部員工創造了一條行政級别晉升路徑。在IT環境中，安全是整個部門内部的能力而非專屬于該部門的能力，擔任CSO角色的人員應該是整個企業中對于安全性了解最為深入的人。就外部候選者而言，他們通常都是安全架構師方面的專業人員，或是在安全項目或基礎架構上擔任總監或副總裁級别的人員，他們通常并沒有企業内部相關人員對于企業安全現狀了解得更為透徹。

CSO負責向誰報告？

根據《2018年全球資訊安全狀況調查》報告顯示，多達40%的CSO和CISO向公司的首席執行官報告；27%的直接向董事會報告；而隻有24%的向CIO（首席資訊官）報告。将CSO置于CIO之下有助于確定與技術傳遞模式的緊密結合，但是也可能存在指責分割的問題。以“一款應用程式即将推出但存在已知安全漏洞”為例，CIO的業績獎金可能與按時傳遞應用程式有關；而CSO的業績獎金卻與安全漏洞和資料洩露有關。在這種情況下，做出什麼決策就成了值得商榷的問題：是要延遲應用程式釋出日期并推出修複程式；還是接受風險，并繼續推出帶有已知漏洞的應用程式，日後再進行修複。

如果CSO直接向首席執行官報告，其主要好處是，CSO能夠在推動變革方面發揮更高程度的影響力。而另一方面，由于首席執行官職責甚廣，可能與CSO溝通的時間有限。雖然在CSO應該向誰報告的問題上存在很多不同的意見，但是不可否認的是，直接向CSO報告顯然具有更多優勢，因為這使得CSO能夠有效地消除障礙，并與整個公司的戰略保持一緻。

但是，無論CSO最終會向誰報告，高管團隊都應該參與整個決策過程。因為與CSO互動最深的就是企業的首席營運官（COO）和首席資訊官（CIO），是以他們應該親自參與面試和選拔。

CSO工作描述

CSO将負責監督和協調整個組織的安全工作，包括資訊技術、人力資源、通信、法律、設施管理以及其他團隊等，此外，CSO還要幫助企業确定安全戰略和标準。其具體工作職責如下所示：

• 上司操作風險管理活動以提升公司和品牌的價值；
• 對負責保護企業資産、知識産權和計算機系統安全的安全機構和服務提供商進行監控；
• 監控保護員工和訪客的實體安全；
• 确定保護目标和保護制度與公司的戰略計劃保持一緻；
• 制訂及執行區域以及全球的安全政策、安全标準、指導方針和執行程式，以保證持續解決安全問題；
• 實體保護職責包括資産保護、工作場所暴力防禦、通路控制系統以及視訊監控等等；資訊保護職責包括網絡安全結構、網絡通路和政策監控以及員工教育訓練等等；
• 像調查安全缺口那樣全面監控事件響應計劃，如有必要必須幫助安全缺口部門完善教育訓練計劃和法律方面的事宜；
• 像獨立安全審計顧問那樣，與外部安全顧問一起工作;制訂全面的風險管理政策，并確定政策的執行；
• 了解目前以及未來可能存在的風險，并且在必要時根據風險和威脅的變化及時調整政策；
• 全面監控産品的内部使用，并且確定工程小組與操作小組保持溝通，在産品出現問題時以便及時發現并解決問題；
• 進一步完善災難恢複/業務連續性政策，通過每一個業務單元的共同努力，確定我們擁有一個整合性良好的計劃和政策。

任職資格

• CSO必須是一名聰明、溝通能力強且具有說服力的上司者，他可以擔任進階管理團隊的有效成員，并且能夠将安全相關概念傳達給廣泛的技術和非技術人員；
• CSO應該具有業務連續性規劃、審計和風險管理以及合同和供應商談判等方面的經驗；
• CSO必須深度了解相關法律和執法部門工作流程；
• CSO必須對資訊技術和資訊安全具有深入的了解。

首席安全官（CSO）薪資待遇

根據行業、企業以及候選人自身的相關經驗和任職期限不同，C級高管的薪酬也可能會大不相同。但是我們提供一個粗略的薪酬水準進行參考：

根據Payscale.com的一項調查結果顯示，CSO的薪酬範圍在68,208 美元至201,789 美元之間不等，平均薪酬為131,314美元。此外，還有獎金和利潤分紅，這部分資金可以高達80,000美元。而根據Salary.com的調查資料顯示，CISO的薪酬範圍通常在188,510美元至249,063美元之間，平均薪酬也高達215,739美元。

CSO vs. CISO

接下來我們将繼續讨論首席安全官（CSO）和首席資訊安全官（CISO）之間的差異，以幫助我們更好地明确CSO的職位描述。

如果有一套嚴格而明确的規則來區分CSO和CISO的職能差異就再好不過了，但事實卻并非如此，因為在實踐中，執行人員的确切職責是根據他們自身的經驗，以及其公司的具體需求而量身定制的。

對于該問題，Niall Browne非常具有發言權，因為他是Domo公司的CISO，同時還在其他公司擔任CSO一職。他表示，“傳統意義上，CSO主要負責員工、資産以及設施的實體安全，并且可能還需要有一定的執法背景；而CISO則主要負責資料保護工作，并且可能還需要具備IT、系統以及工程方面的技術背景。”

Relativity公司的Fennell也對此表示認同，她說，根據定義，CSO的角色更具包容性，其主要責任包括保護公司的實體、網絡和産品安全；而CISO在傳統意義上則側重于負責保護公司重要資訊的角色。但是不得不承認，區分這兩者的界限非常模糊。事實上，CSO和CISO的頭銜經常互換使用，而公司具體使用哪種頭銜更多地是說明該公司的關注重點，而不是明确地定義角色責任。

正如威脅場景正在不斷演變，同樣地，安全角色也在随之發生變化。如今，通過設施/工具來管理實體安全已經變得更為典型，這些負責管理實體安全的人員也被冠以企業安全總監的頭銜，而CISO/CSO職位則特指那些負責網絡安全的個人。這種演變很有意義，因為管理實體安全和網絡安全的技能在很大程度上是不同的。行業中大多數CISO/CSO都不願意管理實體安全，或者堅信隻要專注于網絡安全，他們就能為企業實作最大的收益。

原文釋出時間為：2018-05-23

本文作者：Jasmine

本文來自雲栖社群合作夥伴“

安全牛

”，了解相關資訊可以關注“

”。