跳转到主要内容

首席信息安全官(CISO)是组织内的高级管理人员,负责建立和维护企业愿景、战略和计划,以确保信息资产和技术得到充分保护。CISO指导员工识别、开发、实施和维护整个企业的流程,以降低信息和信息技术(IT)风险。他们应对事件,制定适当的标准和控制措施,管理安全技术,指导政策和程序的制定和实施。CISO通常还负责与信息相关的合规性(例如,监督实体或其一部分实现ISO/IEC 27001认证的实施)。CISO还负责保护公司的专有信息和资产,包括客户和消费者的数据。CISO与其他高管合作,确保公司以负责任和道德的方式发展。

通常,CISO的影响力会波及整个组织。职责可能包括但不限于:

  • 计算机应急响应小组/计算机安全事件响应小组
  • 网络安全
  • 灾难恢复和业务连续性管理
  • 身份和访问管理
  • 信息隐私
  • 信息法规遵从性(例如,美国PCI DSS、FISMA、GLBA、HIPAA;1998年英国数据保护法案;加拿大PIPEDA、欧洲GDPR)
  • 信息风险管理
  • 信息安全和信息保障
  • 信息安全运营中心(ISOC)
  • 金融和其他系统的信息技术控制
  • IT调查、数字取证、eDiscovery

在组织中拥有CISO或同等职能已成为商业、政府和非营利组织的标准做法。到2009年,大约85%的大型组织拥有安全主管,高于2008年的56%和2006年的43%。2018年,由首席信息官、CSO和普华永道联合开展的《2018年全球信息安全状况调查》(GSISS)得出结论,85%的企业拥有CISO或同等职位。CISO的作用已经扩大到包括业务流程、信息安全、客户隐私等方面的风险。因此,现在有一种趋势,即不再将CISO功能嵌入IT部门。2019年,只有24%的CISO向首席信息官(CIO)报告,而40%直接向首席执行官(CEO)报告,27%绕过首席执行官向董事会报告。在首席信息官的报告结构下嵌入CISO职能被认为是次优的,因为存在潜在的利益冲突,并且角色的职责超出了IT团队的职责范围。

在企业中,CISO的趋势是在商业敏锐性和技术知识之间取得强有力的平衡。CISO的需求量通常很高,薪酬与其他同样拥有类似公司头衔的C级职位相当。

一个典型的CISO持有非技术认证(如CISSP和CISM),尽管一个来自技术背景的CISO将拥有扩展的技术技能。其他典型的培训包括管理信息安全计划的项目管理、管理信息安全预算的财务管理(例如持有经认证的MBA),以及指导信息安全经理、信息安全总监、安全分析师、安全工程师和技术风险经理组成的异质团队的软技能。最近,鉴于CISO参与隐私事务,像CIPP这样的认证要求很高。

这一领域的最新发展是“虚拟”CISO(vCISO,也称为“分数CISO”)的出现。[3] 这些CISO在共享或部分基础上工作,对于那些规模可能不足以支持全职执行CISO的组织,或者出于各种原因,可能希望有一名专门的外部执行人员担任此角色。vCISO通常执行与传统CISO类似的功能,当通常使用传统CISO的公司正在寻找替代者时,vCISO也可能充当“临时”CISO。[4] vCISO可以支持组织的关键领域包括:

  • 就所有形式的网络风险提供建议并计划解决这些风险
  • 董事会、管理团队和安全团队辅导
  • 供应商产品和服务评估和选择
  • 成熟度建模操作和工程团队流程、能力和技能
  • 董事会和管理团队简报和更新
  • 运营和资本预算规划和审查