首席安全官(CSO)负责整个机构的安全运行状态,既包括物理安全又包括数字信息安全。CSO负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、合规性、设备管理以及其他组织,CSO还要负责制订安全措施和安全标准。CSO需要经常举办或参加相关领域的活动,如参与跟业务连续性、损失预防、诈骗预防和保护隐私等相关议题的活动。 首席信息安全官即CISO,负责整个机构的安全策略。首席信息安全官需要经常要向CIO(首席信息官)汇报,有时甚至直接向CEO(首席执行官)进行汇报。
然而在现实生活中,首席安全官和首席信息安全官的角色经常是交互的。
一、CSO — Chief Security Officer,即首席安全官。
目前,继 CEO(首席执行官)、CIO(首席信息官)、CFO(首席财务官)之后,CSO 已经出现在一些大公司的高级管理层,有人预测,CSO 会像 CEO 那样在全球各大公司的高管团队中迅速出现。对于国内的许多公司来说,CSO 还不是一个很熟悉的名词。但是随着各大公司对信息安全的重视程度不断提升,CSO 这一新鲜名词将迅速为大家所熟知。
二、什么是 CSO?
在不同的公司,CSO 的含义也有所不同,有的负责保护物理安全,例如:保护公司数据中心各种设备的安全;有些负责数字信息安全,例如:防止公司网络遭到黑客攻击。CSO 主要负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、设备管理以及其他组织,CSO 还要负责制订公司安全措施和安全标准。此外,CSO 还需要经常举办或参加相关领域的活动,例如:参与跟业务连续性、损失预防、诈骗预防和保护隐私等议题相关的活动。
三、为什么要设立 CSO?
CSO 的出现与信息技术的发展和受重视程度关系密切。以中国为例,从上世纪 60年代至今,中国企业的信息化发展经历了创生、起步、发展等阶段,现在已经进入了一个持续整合和优化提升的时代。企业开始关注信息化的可持续发展,其中信息安全和绿色 IT 等理念已经成为企业关注的重点。信息安全正在成为企业发展的核心竞争力,而目前企业的安全正在受到病毒攻击、人为泄密等严重威胁,设立专门负责信息安全的CSO能够为企业的发展提供有力的保障。
四、CSO 的职责是什么?
CSO 和 CIO 的工作都同信息密切相关,但是二者的最大差别在于,CSO 不仅要负责企业的 IT 应用系统的设计和规划,更重要的职责在于要负责整个机构的安全运行状态,即物理安全和数字信息安全。
具体来看,CSO 的职能通常包括如下几点:
对安全机构和服务提供商进行监控,由服务提供商负责保护企业资产、知识产权和计算机系统安全。
确定保护目标和保护制度与公司的战略计划保持一致。
制订及执行区域以及全球的安全政策、安全标准、指导方针和执行程序,以保证持续解决安全问题。信息保护职责包括:网络安全结构、网络访问和政策监控以及员工培训等等。
像调查安全缺口那样全面监控事件响应计划,如有必要必须帮助安全缺口部门完善培训计划和法律方面的事宜。
像独立安全审计顾问那样,与外部安全顾问一起工作。
制订全面的风险管理策略,并确保策略的执行。了解当前以及未来可能存在的风险,并且在必要时根据风险和威胁的变化及时调整策略。
全面监控产品的内部使用,并且确保工程小组与操作小组保持沟通,以便在产品出现问题时及时发现并解决问题。
进一步完善灾难恢复/业务连续性策略,通过每一个业务单元的共同努力,确保我们拥有一个整合性良好的计划和策略。
物理安全责任应该包括资产保护、工作场所危险防护、访问控制系统以及视频监控措施等。
华为首席安全官:阻击华为导致美大量工作岗位流失