一个需要CSO的时代（by AMT 编译）

摘要：在过去两年，CSO这一角色已经出现在一些北美和欧洲的公司。今天，在北美和欧洲的大公司中已至少有200个CSO在工作。

一个需要CSO的时代

by AMT 编译

在去年秋天的一次演说中，美国参议员Robert Bennett（来自犹他州）呼吁安全和工商业界专业人士像重视钞票一样重视数据。他说我们在安全问题上应当像应当像会计师对待钞票一样，正如会计师们在CFO的指导和协作下来提高企业的效率和效能，负责数据安全方面的人员也应当在CSO（Chief Security Officer）之下开展更富成效的工作。

公司安全远非单纯是一些技术手段的相加，它涉及到生理、心理和法律问题，比如培训、激励、强制甚至动用法律手段。它涉及到从战略高度制定计划，熟练地进行谈判和实际问题的处理，并且根据业务需求选择最合适的手段。

在过去两年，CSO这一角色已经出现在一些北美和欧洲的公司。今天，在北美和欧洲的大公司中已至少有200个CSO在工作。但是他们各自工作的界定、提交报告的形式、资格限制以及其他许多方面都可能存在非常大的不同。因此，尽管有越来越多的企业设立了CSO这一职位，但是他们在对这一职位的看法上并不一定能达成一致。

职责

安全系统结构的变化和安全问题的日益重要导致了CSO的出现。越来越多致力于e-business并面临其中的种种压力的企业认识到把安全问题置于更重要的位置是必须的。然而，人们并不倾向于将涉及到企业战略风险的决定权至于IT管理人员掌握之下，IT人员并不居于一个能有效地估量企业风险的位置上。技术上的风险是一件与此非常不同的事情。处理企业风险是企业管理和行政人员的任务，他们要从公司领导层或者CSO那得到有关的意见。

“首席**官”这个词不应该被轻易地使用，“Officer”意味着责任。一些北美的企业已经把CSO职位的设置写到企业的正式制度之中。

一个新上任的CSO面临着关于安全方面的技术前瞻和引导、策略、流程以及人员方面的诸多挑战。确定对于现实的业务需求所必须的安全措施以帮助业务人员进行管理，和安全服务提供商进行谈判以获得可接受水准的服务都是CSO的工作内容。

一个新的CSO所要做的第一件事情，就是保证安全问题在企业内得到普遍的关注和重视。必须要对企业的安全策略和过程进行评估，并确定什么是有效的，什么是无效的。一旦这些情况被明晰出来，CSO就应当通过沟通让企业内部的人员明白到所应该进行的改变，并且向大家解释为什么新的一些做法是必须的，这一般会要求在新旧的安全标准或措施之间进行比较性的说明。

把IT安全和常规安全结合起来。

近来，一幅这样的场景经常出现：公司的最高管理层要求IT安全以及常规安全的负责人提交其业务报告。最普遍的结果是，这两方面的管理人员既不碰面也不磋商，自然他们不不会提交出一个完整统一的内部安全策略。

那些描述这些场景的管理层人员对这种现象感到奇怪：两个负责着类似职责——降低企业风险的部门，不能把劲朝一块使。拥有两个这样的部门的原因是历史形成的：常规的安全管理需要和IT安全不同的专门技能。但是企业管理层倾向于把风险管理看作通一个业务流程，因此当安全方面的业务流程被分割的时候，显然是低效率和低效能的。

在过去，业务方面的管理人员乐于将技术性的风险管理交给专门的IT和公司安全管理团队。这些人把注意力集中于员工的安全管理、防止犯罪或违规行为以及常规的安全管理。而IT安全人员有他们自己的关注的对象，比如企业数据边界的防御（防火墙等），口令管理，防止黑客入侵以及网络站点安全。但是从2001年的某个时候起，安全变成了一个关系到业务价值和业务流程的词汇。例如，对大的灾难性事件的预防和准备，竞争性的情报刺探以及可能涉及到整个公司、股东、雇员等方面的计算机恐怖主义。

CSO应当对企业安全行为以及数据安全功能统一负责，并监管企业的各种不同工作：

从对技术和常规性风险进行管理和架构的角度来开发、实现和管理企业的所有流程。

制定和实施与人力资源、设备和数据安全、灾难性事件或故障的恢复、业务的持续性相关的各种制度、标准和方针

负责对设备、员工和数据处理资源的持续性监控和保护，评估可疑的安全隐患并采取适当的措施。和提供保护设施和数据主机服务的外部---供应商进行洽谈、签订有关合同并管理其服务。

负责计算机安全事故的反应计划制定、运转和预警

对关键的信息资产、设施（比如办公场所和数据中心）进行划定、确认和分类，进行风险和强健度评估，采取相应的安全措施。

支持内部审计部门在建立有关标准上的工作，这些标准用来评价员工、应用软件、IT基础设施和常规设施是否符合安全要求。

建立和管理与计划内新软件、技术和设施的获取或采购相关的企业安全标准。

在开发和外部购买中，支持对新设施、应用软件和技术环境的考察，以（1）确保对公司安全规定和指导的遵守；（2）支持这些新设施、应用软件和技术环境的协调运转

负责公司安全意识和操作的培训计划

管理和安全工作相关的员工

把具有相同或类似职能的组织进行合并以获得规模上的效益。但是，几乎在每一次重组都会有人获益或受损，这使使重组很难执行，并导致一系列的妥协。

工作汇报

在那些非常重视采取技术措施以降低技术风险的中型或大型公司中，CSO通常会向CIO提交有关工作汇报。而在一些特大型公司或者对于业务风险承受能力低的公司或者IT和公司的运转结合紧密的公司，CSO还会向CFO或其他高层提交工作汇报。

首席安全官

有趣的是，似乎没有趋势表明一个公司会将安全事务置于CIO的级别之上。大多数情况下，这似乎与企业文化相关。许多人拥有“IT安全主管”的头衔，但是其工作职责却相当于一个低级的管理者，这些人直属于CIO或者更低级别的主管。

一般来说，公司容易理解对于审计人员来说独立性是重要的，但是很难理解对于CSO来说也是如此。实际上这是基于同样的原因——避免某些利益上的冲突——CSO不应该被置于应该由他来进行评估的某些人的监管之下，他们的价值主要在IT方面并不意味着他们就应该向CIO汇报。

一个公司的CSO曾成功地让CIO相信CSO应该不再向IT部门提交报告，这个CSO描述了许多他的前任和CIO之间因为降低安全组织的影响力而导致的许多利益冲突。当安全方面的需求得不到满足时，CSO和CIO之间不良的关系将阻碍新软件的实施应用，这种关系还将导致安全部门抵制预算的削减，比如放弃一个超预算的开发项目。最终，CIO可能会让CSO在防止歪曲安全政策以应和客户方面遇到困难。这个CSO让CIO感到有充分的理由避免甚至是产生利益冲突的感觉，从而最终同意让CSO向COO汇报工作。

资历/经验

一个CSO的最理想（但是很罕见）的要求应该是将对常规安全的知识技能和对IT语言、问题的熟悉结合在一起。一般的要求应当包括IT安全背景、在企业管理方面的经历以及常规安全和法律方面的专业知识。具体来说，一个CSO应当具有如下条件：

大学学历或与此相当的工作经验

出色的沟通技巧、写作和公开演说能力。

深入了解安全方面的有关原理（诸如鉴定、审核、犯罪现场的保护、风险管理）及基本知识（门禁系统、疏散方法、边界控制、防火墙等等）。

在常规或者IT安全管理方面8～10年的经验，并且，至少5年与安全有关的管理或深入研究经验。

其他方面的要求还可以包括：

善于让人们达成一致

基于internet的安全经验

务实的态度，尤其是要明白如果没有现实的利益，没有任何事情是值得做的。

客户服务经验

在安全性测试方面的意识和丰富经验

把人的问题和技术问题一同纳入视野的安全工作经验。

建筑方面的知识

CPP（安保专业人员证书）、CISA（信息系统监督人员证书）、CISSP（信息系统安全人员证书）方面的资历证明

报酬

有研究显示在CSO的报酬方面，变化的幅度比较大。但是，对于符合上面我们所提到的工作描述、资历或者等级的CSO，变化的幅度要小得多。例如，东海岸一个很大的传媒公司给它的CSO22万5千美元的底薪，如果工作表现好，还有每年40％的分红。一个中西部的制造企业则支付了18万5千美元的底薪外加25％的分红。他们都直接向CEO汇报。这两家企业都没有把IT安全和常规安全分别看待。因此，CSO同时负责这两个方面，而由中层管理人员来分别负责这些专门的事务。甚至有人说在纽约的某个企业这个数字达到70万美元，而另一个企业则超过了七位数。

但是让我们来从另一种角度来考虑，如果并不存在太大的风险也许将IT和常规风险管理分离是合适的。例如，一个中等规模的零售公司也许不会觉得把这两块合并在一起是有益的，这种企业主要着眼于防止其用于进行电子商务的IT商店发生损失。在这种情况下，竞争性情报刺探往往成为公司安全的重点。许多零食企业最感头疼的是商业信息通过店面、市场策略、产品计划而被对手刺探。

许多CIO把自己看成是IT和业务之间的联络人，这是对的，从而他们也看不到有必要设立一个安全官。在CIO的管辖下IT安全是一个相对次要的工作内容，这方面的工作虽然在进行，但是却可能被湮没在许多工作之中而得不到应有的重视。

结论

在许多企业内安全已经变得非常关键，这意味着安全方面的主管也变成了重要人物。新的安全主管不仅仅对于IT安全负有义务，而且还致力于提高业务的运转效率并采取低成本的风险管理措施。这些底层的改进非常容易获得，一旦企业把安全当成业务流程中重要的一环，并且指派一个专门的人员来负责企业内部不同方面的风险协同管理。