首席安全官

負責整個機構安全運行的人員

首席安全官(Chief Security Officer,簡稱CSO) ,CSO也可以被稱為CISO(首席信息安全官,Chief Information Security Officer的縮寫)或者ISO(信息安全官,Information Security Officer的縮寫),這是有別於CIO(首席信息官,Chief Information Officer的縮寫)的獨特之處。

作用


首席官()負責整構運狀態,既包括包括息。負責監控、協調司,包括息技術、資源、、合規、設備管理以及其他組織,CSO還要負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動,如參與跟業務連續性、損失預防、詐騙預防和保護隱私等相關議題的活動。首席信息安全官即CISO,負責整個機構的安全策略。首席信息安全官需要經常要向CIO(首席信息官)彙報,有時甚至直接向CEO(首席執行官)進行彙報。
,首席官首席息官角交互。
、 —   ,即首席官。
目前,繼 CEO(首席執行官)、CIO(首席信息官)、CFO(首席財務官)之後,CSO 已經出現在一些大公司的高級管理層,有人預測,CSO 會像 CEO 那樣在全球各大公司的高管團隊中迅速出現。對於國內的許多公司來說,CSO 還不是一個很熟悉的名詞。但是隨著各大公司對信息安全的重視程度不斷提升,CSO 這一新鮮名詞將迅速為大家所熟知。
二、什麼是 CSO?
在不同的公司,CSO 的含義也有所不同,有的負責保護物理安全,例如:保護公司數據中心各種設備的安全;有些負責數字信息安全,例如:防止公司網路遭到黑客攻擊。CSO 主要負責監控、協調公司內部的安全工作,包括信息技術、人力資源、通信、設備管理以及其他組織,CSO 還要負責制訂公司安全措施和安全標準。此外,CSO 還需要經常舉辦或參加相關領域的活動,例如:參與跟業務連續性、損失預防、詐騙預防和保護隱私等議題相關的活動。
三、為什麼要設立 CSO?
CSO 的出現與信息技術的發展和受重視程度關係密切。以中國為例,從上世紀 60年代至今,中國企業的信息化發展經歷了創生、起步、發展等階段,現在已經進入了一個持續整合和優化提升的時代。企業開始關注信息化的可持續發展,其中信息安全和綠色 IT 等理念已經成為企業關注的重點。信息安全正在成為企業發展的核心競爭力,而目前企業的安全正在受到病毒攻擊、人為泄密等嚴重威脅,設立專門負責信息安全的CSO能夠為企業的發展提供有力的保障。
四、CSO 的職責是什麼?
CSO 和 CIO 的工作都同信息密切相關,但是二者的最大差別在於,CSO 不僅要負責企業的 IT 應用系統的設計和規劃,更重要的職責在於要負責整個機構的安全運行狀態,即物理安全和數字信息安全。
具體來看,CSO 的職能通常包括如下幾點:
對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、知識產權和計算機系統安全。
確定保護目標和保護制度與公司的戰略計劃保持一致。
制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程序,以保證持續解決安全問題。信息保護職責包括:網路安全結構、網路訪問和政策監控以及員工培訓等等。
像調查安全缺口那樣全面監控事件響應計劃,如有必要必須幫助安全缺口部門完善培訓計劃和法律方面的事宜。
像獨立安全審計顧問那樣,與外部安全顧問一起工作。
制訂全面的風險管理策略,並確保策略的執行。了解當前以及未來可能存在的風險,並且在必要時根據風險和威脅的變化及時調整策略。
全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,以便在產品出現問題時及時發現並解決問題。
進一步完善災難恢復/業務連續性策略,通過每一個業務單元的共同努力,確保我們擁有一個整合性良好的計劃和策略。
物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。

產生原因


因為各種因素促使各種安全問題糾集在一起,需要由一個單獨組織進行統一保護,從業產生了CSO這個角色。因素包括一下幾種:
在戰術層面上,技術要素正在被注入到物理安全工具中,並且這些工具不斷被資料庫技術和網路技術所驅動。
在戰略層面上,CEO和公司董事會根據一些法規,如薩班斯﹒奧克斯利法案,從企業高度對風險進行控制。
在實際操作層面上,CSO統一管理安全問題,可以顯著降低運營成本。

工作職能


安全策略通常需要根據企業的不同需求而有所改變,儘管不同的企業需要不同的安全策略,不過安全策略通常都必須包括以下職能:
1、對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、知識產權和計算機系統安全。
2、確定保護目標和保護制度與公司的戰略計劃保持一致。
3、制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程序,以保證持續解決安全問題。信息保護職責包括:網路安全結構、網路訪問和政策監控以及員工培訓等等。
4、像調查安全缺口那樣全面監控事件響應計劃,如有必要必須幫助安全缺口部門完善培訓計劃和法律方面的事宜。
5、像獨立安全審計顧問那樣,與外部安全顧問一起工作。
6、制訂全面的風險管理策略,並確保策略的執行。了解當前以及未來可能存在的風險,並且在必要時根據風險和威脅的變化及時調整策略。
7、全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,在產品出現問題時以便及時發現並解決問題。
8、進一步完善災難恢復/業務連續性策略,通過每一個業務單元的共同努力,確保我們擁有一個整合性良好的計劃和策略。
9、物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。

避免的錯誤


1、認為安全問題僅僅是技術問題
2、試圖將宏觀問題與微觀問題作對比
3、猜測用戶對安全問題感興趣
4、猜測用戶對安全問題很了解

任職資格


從上述CSO的職責說明來看,他在企業中發揮著舉足輕重的作用,因此對CSO任職資格的要求也需要與其職責相匹配。
他必須是個理智、擅長表達、有說服能力的領導者,作為公司高層管理團隊的有效成員,能勝任這一職位。能夠就安全相關的概念進行廣泛的交流和溝通,包括與技術和非技術各類人員。具備商業計劃、賬目檢查及風險管理的工作經驗,還包括合同及商務談判。具備一定的法律背景,充分理解信息技術和信息安全,包括防火牆、VPNs、入侵監測以及其他安全設備。

基本素質


管理能力。CSO要設計安全機制,制訂安全規則,要和公司的管理層溝通,為什麼需要這樣的安全方案,他的管理能力要讓他決定的事能做到。
安全機制包括防火牆、IDS、IPS如何部署等問題。針對網路上的漏洞、黑客攻擊的手段,CSO要制訂安全規則,使公司的各部門主管了解到需要做什麼事情,並定期檢查,對各部門的安全進行評估。
比如銀行的在線交易業務,該業務的價格和新聞信息來自於別家的公司,銀行要及時地拿到這樣的信息,就需要連接到許多不同的第三方公司。同時,銀行也要把交易平台公開對外,讓用戶登錄進來,看價格,買賣股票。這樣的業務很複雜,牽扯到對外、第三方和內部的重要資料,需要考慮的安全問題很多。
從第三方得到新聞,只能讓對方傳送新聞進來,不能有銀行的內部資料讓第三方得到,控制是單方面的,中間不能有差錯。如果讓黑客混進來,登了一個假新聞,市場就會受到嚴重影響。保證第三方的資料沒有被改過,保證第三方的傳送沒有被中斷,不只是技術上的問題。如果單純從技術上考慮安全,那往往是不安全的。
對外,就牽扯到怎麼控制用戶,這需要制訂一些規則。比如一個用戶打錯三次密碼,就不能登錄了,需要通過其它方式的認證才可以重新登錄。這些規則不只是對外的,也是對內的。當用戶進來后,是不是要有IPS和防火牆來防黑客,網路伺服器是不是需要備份等都需要考慮。
對於銀行的資料庫,管理人員是不可以看到用戶個人資料的,他只能管理資料庫。資料庫和網路伺服器中間是不是需要加一些安全機制,怎麼樣去做認證保證用戶資料的安全等,制訂這些規則其實是很難的。
CSO還要懂技術。當然,技術上的要求並不是很強,但CSO必須知道目前新的漏洞、新的攻擊是什麼,用什麼方式可以去防護,怎麼樣達到安全的要求。
比如一個企業要購買防火牆,CSO不僅要知道為什麼要裝防火牆,而且要知道怎麼裝,如何把網路伺服器、郵件伺服器集中在一個區域並與內部區域分開,以確保公司的內部區域受到保護。
現在開始流行IPS了,CSO就要知道怎麼用IPS,放在什麼部位,哪幾個網路是非常重要的,不能讓黑客進去,這些都是技術上必須要知道的。
CSO要有全面性的知識,要了解公司的運作,要具備法律上的知識。
比如銀行的CSO,銀行每個部門的安全需求都不一樣,CSO必須要有很好的知識去了解。知識不是光指技術,他要了解具體部門是如何運作的,並用他的技術能力保證各部門的安全。CSO還要有法律上的知識,銀行的每個部門牽扯到的法律也不一樣,所以他也需要這樣的知識。