首席信息安全官的定義

首席信息安全官是負(fù)責(zé)組織信息和數(shù)據(jù)安全的主管。在過(guò)去，這個(gè)角色的定義有些狹義，而現(xiàn)在這個(gè)頭銜經(jīng)常與首席安全官和安全副總裁互換，這也表明首席信息安全官在組織中發(fā)揮的作用更加廣泛。

[[392811]]

并非每家公司都有最高級(jí)別的安全主管：根據(jù)IDG公司發(fā)布的2020年安全優(yōu)先級(jí)研究報(bào)告，在接受調(diào)查的公司中，61%的組織設(shè)有首席信息安全官，大型組織的這一比例高達(dá)80%。首席信息安全官在組織中是至關(guān)重要的角色：研究發(fā)現(xiàn)，沒有設(shè)置首席信息安全官或首席安全官職位的組織與比擁有這些安全主管職位的組織相比，在員工安全培訓(xùn)方面不充分，并且安全策略也不夠主動(dòng)。

很多安全專業(yè)人士希望擔(dān)任首席信息安全官。他們需要了解可以采取哪些措施獲得擔(dān)任該職位的機(jī)會(huì)，以及在擔(dān)任這一關(guān)鍵角色之后將承擔(dān)哪些責(zé)任。

首席信息安全官的職責(zé)

首席信息安全官的職責(zé)是什么?也許理解首席信息安全官工作的最好方法就是了解其日常​​職責(zé)。上世紀(jì)90年代在花旗集團(tuán)擔(dān)任首席信息安全官的Stephen Katz在接受行業(yè)媒體采訪時(shí)概述了首席信息安全官的職責(zé)范圍。他將首席信息安全官職責(zé)分為以下幾類：

• 安全操作：實(shí)時(shí)分析即時(shí)威脅，并在出現(xiàn)問(wèn)題時(shí)進(jìn)行分類。
• 網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)情報(bào)：及時(shí)了解發(fā)展中的安全威脅，并幫助組織董事會(huì)了解收購(gòu)行業(yè)廠商或開展其他大型商業(yè)活動(dòng)可能引起的潛在安全問(wèn)題。
• 數(shù)據(jù)丟失和欺詐預(yù)防：確保內(nèi)部人員不會(huì)濫用或竊取組織數(shù)據(jù)。
• 安全體系結(jié)構(gòu)：規(guī)劃、購(gòu)買和推出安全硬件和軟件，確保IT和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的設(shè)計(jì)考慮到最佳安全實(shí)踐。
• 身份和訪問(wèn)管理：確保只有授權(quán)人員才能訪問(wèn)受限的數(shù)據(jù)和系統(tǒng)。
• 程序管理：通過(guò)實(shí)施可減輕風(fēng)險(xiǎn)的程序或項(xiàng)目(例如定期的系統(tǒng)補(bǔ)丁程序)來(lái)滿足安全需求。
• 調(diào)查和取證：確定違規(guī)行為中出現(xiàn)了什么問(wèn)題，如果是內(nèi)部違規(guī)行為，則處理相關(guān)責(zé)任人，并計(jì)劃避免再次發(fā)生同樣的危機(jī)。
• 治理：確保上述所有舉措都能順利進(jìn)行，并獲得所需的資金，組織領(lǐng)導(dǎo)者應(yīng)了解其重要性。

另一個(gè)重要的注意事項(xiàng)是，這些要點(diǎn)大多適用于IT安全。但對(duì)許多高級(jí)安全執(zhí)行官來(lái)說(shuō)，他們的任務(wù)不僅僅局限于保護(hù)服務(wù)器和個(gè)人電腦的安全，還擴(kuò)展到物理設(shè)施的安全，確保他們所在組織的辦公室和工廠設(shè)施免受外部入侵。根據(jù)IDG公司發(fā)布的2020年安全優(yōu)先權(quán)的研究報(bào)告，42%的高級(jí)安全主管表示，他們?cè)谶^(guò)去三年中已經(jīng)增加了物聯(lián)安全職責(zé)，另有18%的高管希望在未來(lái)一年內(nèi)擔(dān)任這一職務(wù)。

首席信息安全官的要求

首席信息安全官這一角色需要考慮什么?一般來(lái)說(shuō)，首席信息安全官需要扎實(shí)的技術(shù)基礎(chǔ)。在通常情況下，首席信息安全官應(yīng)聘者應(yīng)該擁有計(jì)算機(jī)科學(xué)或相關(guān)領(lǐng)域的學(xué)士學(xué)位，并具有7～12年的工作經(jīng)驗(yàn)(包括管理職位至少5年);以安全為重點(diǎn)的技術(shù)碩士學(xué)位也越來(lái)越流行。首席信息安全官還需要具備一系列的技術(shù)技能：除了IT技術(shù)人員都應(yīng)該具備的編程和系統(tǒng)管理基礎(chǔ)知識(shí)之外，還應(yīng)該了解一些以安全為中心的技術(shù)，例如DNS、路由、身份驗(yàn)證、VPN、代理服務(wù)和DDoS抵御技術(shù);編程實(shí)踐、威脅建模;防火墻和入侵檢測(cè)/預(yù)防協(xié)議。由于首席信息安全官需要幫助組織遵守一些國(guó)家和行業(yè)法規(guī)，還應(yīng)該了解影響其所在行業(yè)的一系列法規(guī)，其中包括PCI DSS、HIPAA、GLBA和SOX。

具備技術(shù)和知識(shí)并不是獲得首席信息安全官這一職位的唯一要求，甚至可能不是最重要的決定因素。畢竟，首席信息安全官的大部分工作都涉及管理和提倡組織領(lǐng)導(dǎo)層內(nèi)部的安全性。IT研究員Larry Ponemon在SecureWorld會(huì)議上發(fā)言時(shí)說(shuō)：“杰出的首席信息安全官需要具有良好的技術(shù)基礎(chǔ)，但通常還要具備業(yè)務(wù)背景，以及與其他組織高管和董事會(huì)成員進(jìn)行溝通所需的技能。”

人才中介機(jī)構(gòu)LaSalle Network公司技術(shù)服務(wù)高級(jí)部門經(jīng)理Paul Wallenberg表示，判斷首席信息安全官應(yīng)聘者的技術(shù)技能和非技術(shù)技能可能會(huì)有所不同，這具體取決于組織的要求。他說(shuō)：“一般來(lái)說(shuō)，在全球或國(guó)際上具有業(yè)務(wù)影響力的組織將尋找具有全面安全背景的應(yīng)聘者，并采用評(píng)估領(lǐng)導(dǎo)技能的方法了解應(yīng)聘者的職業(yè)發(fā)展和業(yè)績(jī)成就。另一方面，那些專注于網(wǎng)絡(luò)和產(chǎn)品業(yè)務(wù)的組織傾向于雇用擁有應(yīng)用程序和網(wǎng)絡(luò)安全性的特定技能的應(yīng)聘者。”

首席信息安全官的認(rèn)證和培訓(xùn)

當(dāng)應(yīng)聘或晉升到首席信息安全官的職位時(shí)，通過(guò)認(rèn)證來(lái)提高簡(jiǎn)歷的含金量并沒有什么壞處。這些認(rèn)證可以更新知識(shí)，激發(fā)新的思維，提高可信度，并且是完善的內(nèi)部培訓(xùn)課程中必不可少的一部分。

安全網(wǎng)站Cyber​​degrees列出了七個(gè)認(rèn)證。Lasalle Network公司的Wallenberg為此選擇了三個(gè)頂級(jí)的認(rèn)證：

• 注冊(cè)信息系統(tǒng)安全專家(CISSP)，適用于尋求將安全作為職業(yè)重點(diǎn)的IT專業(yè)人員。
• 注冊(cè)認(rèn)證信息安全經(jīng)理(CISM)，適用于希望從安全技術(shù)和學(xué)科轉(zhuǎn)型到領(lǐng)導(dǎo)力或計(jì)劃管理的人員。
• 認(rèn)證道德黑客(CEH)，適用于希望對(duì)可能威脅企業(yè)安全的問(wèn)題具有領(lǐng)先意識(shí)的安全專業(yè)人員。

首席信息安全官、首席安全官以及其他高管的職位名稱

以下先了解一下職位名稱，盡管在本文中的名稱一直是首席信息安全官，還有一些其他的名稱用于行政級(jí)別的安全人員：例如首席安全官(CSO)相當(dāng)常見，還有一些人員則擁有副總裁的頭銜。IDG公司的2020年安全優(yōu)先研究報(bào)告發(fā)現(xiàn)，41%的受訪者認(rèn)為首席信息安全官是最常見的職位，14%的受訪者認(rèn)為首席安全官是最常見的職位，16%的受訪者選擇了其他高管職位。有趣的是，大型組織更多地將其安全主管稱為首席信息安全官：在接受調(diào)查的組織中，80%的組織采用這一職位名稱。如上所述，人們已經(jīng)或多或少地互換使用了這些職位。在許多情況下，它們反映了特定組織中的等級(jí)架構(gòu)或角色組成。而在一家公司中擔(dān)任首席信息安全官的職位可能會(huì)與另一家公司中的首席安全官職位非常相似。

比職位名稱更重要的是組織結(jié)構(gòu)圖。首席信息安全官是在組織內(nèi)不可避免地與他人發(fā)生矛盾的角色，因?yàn)樽鳛榘踩珜＜?，其本職工作是監(jiān)管IT系統(tǒng)并使它們讓居心不良的人員或組織更難訪問(wèn)，這可能會(huì)與IT部門以無(wú)摩擦的方式提供信息和應(yīng)用程序的工作相沖突。首席信息安全官與首席安全官或首席信息官在組織結(jié)構(gòu)圖的職責(zé)有著更多的重疊，解決這種矛盾通常取決于組織內(nèi)部的報(bào)告工作方式：如果安全主管向組織領(lǐng)導(dǎo)層報(bào)告，那么可能會(huì)限制首席信息安全官的戰(zhàn)略執(zhí)行能力，因?yàn)樗麄兊脑妇白罱K要服從于IT部門的更大戰(zhàn)略。

不同的報(bào)告結(jié)構(gòu)有多普遍?IDG公司的2020年安全優(yōu)先研究報(bào)告表明，在接受調(diào)查的組織中，46%的高級(jí)安全主管需要向首席執(zhí)行官或董事會(huì)報(bào)告，而33%的高級(jí)安全主管需要向首席信息官報(bào)告。規(guī)模較小的組織可能擁有更扁平的結(jié)構(gòu)，這一點(diǎn)不足為奇：在接受調(diào)查的中小企業(yè)中，59%的首席信息安全官直接向首席執(zhí)行官報(bào)告。

將首席信息官和首席信息安全官置于平等的地位可以減少?zèng)_突，這可以向組織成員發(fā)出信息的安全性至關(guān)重要的信號(hào)。但這也意味著首席信息安全官不能簡(jiǎn)單地否決技術(shù)計(jì)劃。正如杜卡迪公司首席信息官所說(shuō)，“首席信息安全官幫助IT團(tuán)隊(duì)提供更強(qiáng)大的產(chǎn)品和服務(wù)，而不是簡(jiǎn)單地說(shuō)‘不’”。戰(zhàn)略舉措的共同責(zé)任改變了這種關(guān)系的動(dòng)態(tài)，這可能意味著新首席信息安全官成功與失敗之間的區(qū)別。

首席信息安全官的工作描述

如果組織希望招聘出色的首席信息安全官，并為此撰寫這一職位的工作描述。Lasalle Network公司的Wallenberg說(shuō)：“組織首先要決定是否要聘請(qǐng)首席信息安全官，并確定職位的級(jí)別、報(bào)告結(jié)構(gòu)和職位頭銜、。在規(guī)模較小的組織中，首席信息安全官可以是副總裁或安全總監(jiān)。組織還需要設(shè)定首席信息安全官的最低要求和資格，然后到市場(chǎng)上招聘應(yīng)聘者或在組織內(nèi)部招聘應(yīng)聘者。”

CSO Senior 公司的Michael Nadeau對(duì)如何編寫首席信息安全官職位描述進(jìn)行了闡述。他指出，一件至關(guān)重要的事情是，其工作描述應(yīng)該從一開始就讓組織對(duì)安全的承諾非常清楚，因?yàn)檫@樣才能吸引高素質(zhì)的求職者。應(yīng)該強(qiáng)調(diào)首席信息官在組織結(jié)構(gòu)圖上的最終位置，以及他們將會(huì)與組織董事會(huì)成員互動(dòng)來(lái)真正明確這一點(diǎn)。

首席信息官的薪酬

首席信息安全官是一個(gè)高級(jí)職位，因此將獲得相應(yīng)的豐厚報(bào)酬。當(dāng)然，預(yù)測(cè)薪資是一門藝術(shù)而不是一門科學(xué)，但是所達(dá)成的共識(shí)是，首席信息安全官的年薪通常在10萬(wàn)美元以上。根據(jù)ZipRecruiter公司的調(diào)查，美國(guó)首席信息安全官平均年薪為159,877美元，而在Salary.com公司調(diào)查中的標(biāo)準(zhǔn)更高，首席信息安全官平均年薪為195,000美元到257,000美元。

如果瀏覽求職網(wǎng)站Glassdoor的職位，則可以看到當(dāng)前首席信息安全官職位的薪資范圍，這可以幫助了解哪些部門的薪資水平更高或更低。例如通用電氣電力公司空缺的首席信息安全官職位的年薪為152,000至164,000美元，而密歇根大學(xué)的一個(gè)首席信息安全官職位的年薪為259,000至279,000美元。

首席信息安全官的工作范圍

首席信息安全官的工作范圍一直在變化，而為了了解首席信息安全官的工作職責(zé)以及如何應(yīng)對(duì)職業(yè)前景。可能從一些相關(guān)文章進(jìn)行了解。

• “首席信息安全官工作壽命的6個(gè)秘訣”：對(duì)于為組織長(zhǎng)期服務(wù)的首席安全官來(lái)說(shuō)，關(guān)注業(yè)務(wù)和如何溝通是關(guān)鍵。
• “首席信息官需要向首席信息安全官尋求什么：協(xié)作而不指責(zé)”：可以了解如何處理這種有時(shí)令人擔(dān)憂的關(guān)系。這篇文章對(duì)如何看待這兩個(gè)職位與安全職能的關(guān)系，以及對(duì)首席信息安全官為什么需要與首席信息官密切合作進(jìn)行了解釋。
• “使首席信息安全官失去工作的7個(gè)安全事件”：當(dāng)成為高層管​​理人員時(shí)，首席信息安全官就會(huì)發(fā)現(xiàn)擔(dān)負(fù)著重大的責(zé)任。而他們的經(jīng)驗(yàn)和教訓(xùn)將提供更多的學(xué)習(xí)機(jī)會(huì)。