首席信息安全官的定義

首席信息安全官是負責組織信息和數(shù)據(jù)安全的主管。在過去，這個角色的定義有些狹義，而現(xiàn)在這個頭銜經(jīng)常與首席安全官和安全副總裁互換，這也表明首席信息安全官在組織中發(fā)揮的作用更加廣泛。

[[392811]]

并非每家公司都有最高級別的安全主管：根據(jù)IDG公司發(fā)布的2020年安全優(yōu)先級研究報告，在接受調(diào)查的公司中，61%的組織設有首席信息安全官，大型組織的這一比例高達80%。首席信息安全官在組織中是至關重要的角色：研究發(fā)現(xiàn)，沒有設置首席信息安全官或首席安全官職位的組織與比擁有這些安全主管職位的組織相比，在員工安全培訓方面不充分，并且安全策略也不夠主動。

很多安全專業(yè)人士希望擔任首席信息安全官。他們需要了解可以采取哪些措施獲得擔任該職位的機會，以及在擔任這一關鍵角色之后將承擔哪些責任。

首席信息安全官的職責

首席信息安全官的職責是什么?也許理解首席信息安全官工作的最好方法就是了解其日常​​職責。上世紀90年代在花旗集團擔任首席信息安全官的Stephen Katz在接受行業(yè)媒體采訪時概述了首席信息安全官的職責范圍。他將首席信息安全官職責分為以下幾類：

• 安全操作：實時分析即時威脅，并在出現(xiàn)問題時進行分類。
• 網(wǎng)絡風險和網(wǎng)絡情報：及時了解發(fā)展中的安全威脅，并幫助組織董事會了解收購行業(yè)廠商或開展其他大型商業(yè)活動可能引起的潛在安全問題。
• 數(shù)據(jù)丟失和欺詐預防：確保內(nèi)部人員不會濫用或竊取組織數(shù)據(jù)。
• 安全體系結(jié)構(gòu)：規(guī)劃、購買和推出安全硬件和軟件，確保IT和網(wǎng)絡基礎設施的設計考慮到最佳安全實踐。
• 身份和訪問管理：確保只有授權人員才能訪問受限的數(shù)據(jù)和系統(tǒng)。
• 程序管理：通過實施可減輕風險的程序或項目(例如定期的系統(tǒng)補丁程序)來滿足安全需求。
• 調(diào)查和取證：確定違規(guī)行為中出現(xiàn)了什么問題，如果是內(nèi)部違規(guī)行為，則處理相關責任人，并計劃避免再次發(fā)生同樣的危機。
• 治理：確保上述所有舉措都能順利進行，并獲得所需的資金，組織領導者應了解其重要性。

另一個重要的注意事項是，這些要點大多適用于IT安全。但對許多高級安全執(zhí)行官來說，他們的任務不僅僅局限于保護服務器和個人電腦的安全，還擴展到物理設施的安全，確保他們所在組織的辦公室和工廠設施免受外部入侵。根據(jù)IDG公司發(fā)布的2020年安全優(yōu)先權的研究報告，42%的高級安全主管表示，他們在過去三年中已經(jīng)增加了物聯(lián)安全職責，另有18%的高管希望在未來一年內(nèi)擔任這一職務。

首席信息安全官的要求

首席信息安全官這一角色需要考慮什么?一般來說，首席信息安全官需要扎實的技術基礎。在通常情況下，首席信息安全官應聘者應該擁有計算機科學或相關領域的學士學位，并具有7～12年的工作經(jīng)驗(包括管理職位至少5年);以安全為重點的技術碩士學位也越來越流行。首席信息安全官還需要具備一系列的技術技能：除了IT技術人員都應該具備的編程和系統(tǒng)管理基礎知識之外，還應該了解一些以安全為中心的技術，例如DNS、路由、身份驗證、VPN、代理服務和DDoS抵御技術;編程實踐、威脅建模;防火墻和入侵檢測/預防協(xié)議。由于首席信息安全官需要幫助組織遵守一些國家和行業(yè)法規(guī)，還應該了解影響其所在行業(yè)的一系列法規(guī)，其中包括PCI DSS、HIPAA、GLBA和SOX。

具備技術和知識并不是獲得首席信息安全官這一職位的唯一要求，甚至可能不是最重要的決定因素。畢竟，首席信息安全官的大部分工作都涉及管理和提倡組織領導層內(nèi)部的安全性。IT研究員Larry Ponemon在SecureWorld會議上發(fā)言時說：“杰出的首席信息安全官需要具有良好的技術基礎，但通常還要具備業(yè)務背景，以及與其他組織高管和董事會成員進行溝通所需的技能。”

人才中介機構(gòu)LaSalle Network公司技術服務高級部門經(jīng)理Paul Wallenberg表示，判斷首席信息安全官應聘者的技術技能和非技術技能可能會有所不同，這具體取決于組織的要求。他說：“一般來說，在全球或國際上具有業(yè)務影響力的組織將尋找具有全面安全背景的應聘者，并采用評估領導技能的方法了解應聘者的職業(yè)發(fā)展和業(yè)績成就。另一方面，那些專注于網(wǎng)絡和產(chǎn)品業(yè)務的組織傾向于雇用擁有應用程序和網(wǎng)絡安全性的特定技能的應聘者。”

首席信息安全官的認證和培訓

當應聘或晉升到首席信息安全官的職位時，通過認證來提高簡歷的含金量并沒有什么壞處。這些認證可以更新知識，激發(fā)新的思維，提高可信度，并且是完善的內(nèi)部培訓課程中必不可少的一部分。

安全網(wǎng)站Cyber​​degrees列出了七個認證。Lasalle Network公司的Wallenberg為此選擇了三個頂級的認證：

• 注冊信息系統(tǒng)安全專家(CISSP)，適用于尋求將安全作為職業(yè)重點的IT專業(yè)人員。
• 注冊認證信息安全經(jīng)理(CISM)，適用于希望從安全技術和學科轉(zhuǎn)型到領導力或計劃管理的人員。
• 認證道德黑客(CEH)，適用于希望對可能威脅企業(yè)安全的問題具有領先意識的安全專業(yè)人員。

首席信息安全官、首席安全官以及其他高管的職位名稱

以下先了解一下職位名稱，盡管在本文中的名稱一直是首席信息安全官，還有一些其他的名稱用于行政級別的安全人員：例如首席安全官(CSO)相當常見，還有一些人員則擁有副總裁的頭銜。IDG公司的2020年安全優(yōu)先研究報告發(fā)現(xiàn)，41%的受訪者認為首席信息安全官是最常見的職位，14%的受訪者認為首席安全官是最常見的職位，16%的受訪者選擇了其他高管職位。有趣的是，大型組織更多地將其安全主管稱為首席信息安全官：在接受調(diào)查的組織中，80%的組織采用這一職位名稱。如上所述，人們已經(jīng)或多或少地互換使用了這些職位。在許多情況下，它們反映了特定組織中的等級架構(gòu)或角色組成。而在一家公司中擔任首席信息安全官的職位可能會與另一家公司中的首席安全官職位非常相似。

比職位名稱更重要的是組織結(jié)構(gòu)圖。首席信息安全官是在組織內(nèi)不可避免地與他人發(fā)生矛盾的角色，因為作為安全專家，其本職工作是監(jiān)管IT系統(tǒng)并使它們讓居心不良的人員或組織更難訪問，這可能會與IT部門以無摩擦的方式提供信息和應用程序的工作相沖突。首席信息安全官與首席安全官或首席信息官在組織結(jié)構(gòu)圖的職責有著更多的重疊，解決這種矛盾通常取決于組織內(nèi)部的報告工作方式：如果安全主管向組織領導層報告，那么可能會限制首席信息安全官的戰(zhàn)略執(zhí)行能力，因為他們的愿景最終要服從于IT部門的更大戰(zhàn)略。

不同的報告結(jié)構(gòu)有多普遍?IDG公司的2020年安全優(yōu)先研究報告表明，在接受調(diào)查的組織中，46%的高級安全主管需要向首席執(zhí)行官或董事會報告，而33%的高級安全主管需要向首席信息官報告。規(guī)模較小的組織可能擁有更扁平的結(jié)構(gòu)，這一點不足為奇：在接受調(diào)查的中小企業(yè)中，59%的首席信息安全官直接向首席執(zhí)行官報告。

將首席信息官和首席信息安全官置于平等的地位可以減少沖突，這可以向組織成員發(fā)出信息的安全性至關重要的信號。但這也意味著首席信息安全官不能簡單地否決技術計劃。正如杜卡迪公司首席信息官所說，“首席信息安全官幫助IT團隊提供更強大的產(chǎn)品和服務，而不是簡單地說‘不’”。戰(zhàn)略舉措的共同責任改變了這種關系的動態(tài)，這可能意味著新首席信息安全官成功與失敗之間的區(qū)別。

首席信息安全官的工作描述

如果組織希望招聘出色的首席信息安全官，并為此撰寫這一職位的工作描述。Lasalle Network公司的Wallenberg說：“組織首先要決定是否要聘請首席信息安全官，并確定職位的級別、報告結(jié)構(gòu)和職位頭銜、。在規(guī)模較小的組織中，首席信息安全官可以是副總裁或安全總監(jiān)。組織還需要設定首席信息安全官的最低要求和資格，然后到市場上招聘應聘者或在組織內(nèi)部招聘應聘者。”

CSO Senior 公司的Michael Nadeau對如何編寫首席信息安全官職位描述進行了闡述。他指出，一件至關重要的事情是，其工作描述應該從一開始就讓組織對安全的承諾非常清楚，因為這樣才能吸引高素質(zhì)的求職者。應該強調(diào)首席信息官在組織結(jié)構(gòu)圖上的最終位置，以及他們將會與組織董事會成員互動來真正明確這一點。

首席信息官的薪酬

首席信息安全官是一個高級職位，因此將獲得相應的豐厚報酬。當然，預測薪資是一門藝術而不是一門科學，但是所達成的共識是，首席信息安全官的年薪通常在10萬美元以上。根據(jù)ZipRecruiter公司的調(diào)查，美國首席信息安全官平均年薪為159,877美元，而在Salary.com公司調(diào)查中的標準更高，首席信息安全官平均年薪為195,000美元到257,000美元。

如果瀏覽求職網(wǎng)站Glassdoor的職位，則可以看到當前首席信息安全官職位的薪資范圍，這可以幫助了解哪些部門的薪資水平更高或更低。例如通用電氣電力公司空缺的首席信息安全官職位的年薪為152,000至164,000美元，而密歇根大學的一個首席信息安全官職位的年薪為259,000至279,000美元。

首席信息安全官的工作范圍

首席信息安全官的工作范圍一直在變化，而為了了解首席信息安全官的工作職責以及如何應對職業(yè)前景?？赡軓囊恍┫嚓P文章進行了解。

• “首席信息安全官工作壽命的6個秘訣”：對于為組織長期服務的首席安全官來說，關注業(yè)務和如何溝通是關鍵。
• “首席信息官需要向首席信息安全官尋求什么：協(xié)作而不指責”：可以了解如何處理這種有時令人擔憂的關系。這篇文章對如何看待這兩個職位與安全職能的關系，以及對首席信息安全官為什么需要與首席信息官密切合作進行了解釋。
• “使首席信息安全官失去工作的7個安全事件”：當成為高層管​​理人員時，首席信息安全官就會發(fā)現(xiàn)擔負著重大的責任。而他們的經(jīng)驗和教訓將提供更多的學習機會。