首席安全官

首席安全官（CSO）負責整個機構的安全運行狀態，既包括物理安全又包括數字信息安全。CSO負責監控、協調公司內部的安全工作，包括信息技術、人力資源、通信、合規性、設備管理以及其他組織，CSO還要負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動，如參與跟業務連續性、損失預防、詐騙預防和保護隱私等相關議題的活動。 　首席信息安全官即CISO，負責整個機構的安全策略。首席信息安全官需要經常要向CIO（首席信息官）彙報，有時甚至直接向CEO（首席執行官）進行彙報。

一、CSO — Chief Security Officer，即首席安全官。

目前，繼 CEO（首席執行官）、CIO（首席信息官）、CFO（首席財務官）之後，CSO 已經出現在一些大公司的高級管理層，有人預測，CSO 會像 CEO 那樣在全球各大公司的高管團隊中迅速出現。對於國內的許多公司來説，CSO 還不是一個很熟悉的名詞。但是隨着各大公司對信息安全的重視程度不斷提升，CSO 這一新鮮名詞將迅速為大家所熟知。

二、什麼是 CSO？

在不同的公司，CSO 的含義也有所不同，有的負責保護物理安全，例如：保護公司數據中心各種設備的安全；有些負責數字信息安全，例如：防止公司網絡遭到黑客攻擊。CSO 主要負責監控、協調公司內部的安全工作，包括信息技術、人力資源、通信、設備管理以及其他組織，CSO 還要負責制訂公司安全措施和安全標準。此外，CSO 還需要經常舉辦或參加相關領域的活動，例如：參與跟業務連續性、損失預防、詐騙預防和保護隱私等議題相關的活動。

三、為什麼要設立 CSO？

CSO 的出現與信息技術的發展和受重視程度關係密切。以中國為例，從上世紀 60年代至今，中國企業的信息化發展經歷了創生、起步、發展等階段，現在已經進入了一個持續整合和優化提升的時代。企業開始關注信息化的可持續發展，其中信息安全和綠色 IT 等理念已經成為企業關注的重點。信息安全正在成為企業發展的核心競爭力，而目前企業的安全正在受到病毒攻擊、人為泄密等嚴重威脅，設立專門負責信息安全的CSO能夠為企業的發展提供有力的保障。

四、CSO 的職責是什麼？

CSO 和 CIO 的工作都同信息密切相關，但是二者的最大差別在於，CSO 不僅要負責企業的 IT 應用系統的設計和規劃，更重要的職責在於要負責整個機構的安全運行狀態，即物理安全和數字信息安全。

具體來看，CSO 的職能通常包括如下幾點：

對安全機構和服務提供商進行監控，由服務提供商負責保護企業資產、知識產權和計算機系統安全。

確定保護目標和保護制度與公司的戰略計劃保持一致。

制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程序，以保證持續解決安全問題。信息保護職責包括：網絡安全結構、網絡訪問和政策監控以及員工培訓等等。

像調查安全缺口那樣全面監控事件響應計劃，如有必要必須幫助安全缺口部門完善培訓計劃和法律方面的事宜。

像獨立安全審計顧問那樣，與外部安全顧問一起工作。

制訂全面的風險管理策略，並確保策略的執行。瞭解當前以及未來可能存在的風險，並且在必要時根據風險和威脅的變化及時調整策略。

全面監控產品的內部使用，並且確保工程小組與操作小組保持溝通，以便在產品出現問題時及時發現並解決問題。

進一步完善災難恢復/業務連續性策略，通過每一個業務單元的共同努力，確保我們擁有一個整合性良好的計劃和策略。

物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。

因為各種因素促使各種安全問題糾集在一起，需要由一個單獨組織進行統一保護，從業產生了CSO這個角色。因素包括一下幾種：

在戰術層面上，技術要素正在被注入到物理安全工具中，並且這些工具不斷被數據庫技術和網絡技術所驅動。

在戰略層面上，CEO和公司董事會根據一些法規，如薩班斯﹒奧克斯利法案，從企業高度對風險進行控制。

在實際操作層面上，CSO統一管理安全問題，可以顯著降低運營成本。

安全策略通常需要根據企業的不同需求而有所改變，儘管不同的企業需要不同的安全策略，不過安全策略通常都必須包括以下職能：

1、對安全機構和服務提供商進行監控，由服務提供商負責保護企業資產、知識產權和計算機系統安全。

2、確定保護目標和保護制度與公司的戰略計劃保持一致。

3、制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程序，以保證持續解決安全問題。信息保護職責包括：網絡安全結構、網絡訪問和政策監控以及員工培訓等等。

4、像調查安全缺口那樣全面監控事件響應計劃，如有必要必須幫助安全缺口部門完善培訓計劃和法律方面的事宜。

5、像獨立安全審計顧問那樣，與外部安全顧問一起工作。

6、制訂全面的風險管理策略，並確保策略的執行。瞭解當前以及未來可能存在的風險，並且在必要時根據風險和威脅的變化及時調整策略。

7、全面監控產品的內部使用，並且確保工程小組與操作小組保持溝通，在產品出現問題時以便及時發現並解決問題。

8、進一步完善災難恢復/業務連續性策略，通過每一個業務單元的共同努力，確保我們擁有一個整合性良好的計劃和策略。

9、物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。

1、認為安全問題僅僅是技術問題

2、試圖將宏觀問題與微觀問題作對比

3、猜測用户對安全問題感興趣

4、猜測用户對安全問題很瞭解

從上述CSO的職責説明來看，他在企業中發揮着舉足輕重的作用，因此對CSO任職資格的要求也需要與其職責相匹配。

他必須是個理智、擅長表達、有説服能力的領導者，作為公司高層管理團隊的有效成員，能勝任這一職位。能夠就安全相關的概念進行廣泛的交流和溝通，包括與技術和非技術各類人員。 具備商業計劃、賬目檢查及風險管理的工作經驗，還包括合同及商務談判。 具備一定的法律背景，充分理解信息技術和信息安全，包括防火牆、VPNs、入侵監測以及其他安全設備。

管理能力。CSO要設計安全機制，制訂安全規則，要和公司的管理層溝通，為什麼需要這樣的安全方案，他的管理能力要讓他決定的事能做到。

安全機制包括防火牆、IDS、IPS如何部署等問題。針對網絡上的漏洞、黑客攻擊的手段，CSO要制訂安全規則，使公司的各部門主管了解到需要做什麼事情，並定期檢查，對各部門的安全進行評估。

比如銀行的在線交易業務，該業務的價格和新聞信息來自於別家的公司，銀行要及時地拿到這樣的信息，就需要連接到許多不同的第三方公司。同時，銀行也要把交易平台公開對外，讓用户登錄進來，看價格，買賣股票。這樣的業務很複雜，牽扯到對外、第三方和內部的重要資料，需要考慮的安全問題很多。

從第三方得到新聞，只能讓對方傳送新聞進來，不能有銀行的內部資料讓第三方得到，控制是單方面的，中間不能有差錯。如果讓黑客混進來，登了一個假新聞，市場就會受到嚴重影響。保證第三方的資料沒有被改過，保證第三方的傳送沒有被中斷，不只是技術上的問題。如果單純從技術上考慮安全，那往往是不安全的。

對外，就牽扯到怎麼控制用户，這需要制訂一些規則。比如一個用户打錯三次密碼，就不能登錄了，需要通過其它方式的認證才可以重新登錄。這些規則不只是對外的，也是對內的。當用户進來後，是不是要有IPS和防火牆來防黑客，網絡服務器是不是需要備份等都需要考慮。

對於銀行的數據庫，管理人員是不可以看到用户個人資料的，他只能管理數據庫。數據庫和網絡服務器中間是不是需要加一些安全機制，怎麼樣去做認證保證用户資料的安全等，制訂這些規則其實是很難的。

CSO還要懂技術。當然，技術上的要求並不是很強，但CSO必須知道目前新的漏洞、新的攻擊是什麼，用什麼方式可以去防護，怎麼樣達到安全的要求。

比如一個企業要購買防火牆，CSO不僅要知道為什麼要裝防火牆，而且要知道怎麼裝，如何把網絡服務器、郵件服務器集中在一個區域並與內部區域分開，以確保公司的內部區域受到保護。

現在開始流行IPS了，CSO就要知道怎麼用IPS，放在什麼部位，哪幾個網絡是非常重要的，不能讓黑客進去，這些都是技術上必須要知道的。

比如銀行的CSO，銀行每個部門的安全需求都不一樣，CSO必須要有很好的知識去了解。知識不是光指技術，他要了解具體部門是如何運作的，並用他的技術能力保證各部門的安全。CSO還要有法律上的知識，銀行的每個部門牽扯到的法律也不一樣，所以他也需要這樣的知識。