前言

2001年9月11日，两架被劫持的飞机撞向纽约曼哈顿的高塔，随即，世贸中心双子塔带着滚滚的火球化为一片废墟。21世纪初这场最重大的灾难，除了对美国政治、军事、经济造成巨大影响之外，最直接的是对办公室设在世贸大楼上的450家企业造成了毁灭性的影响。其中著名的公司包括美洲银行、朝日银行、德意志银行、国际信托银行、肯珀保险公司、马什保险公司、帝国人寿保险公司、盖伊·卡彭特保险公司、坎特·菲兹杰拉德投资公司、摩根士丹利金融公司、美国商品期货交易所等。数以百计的知名公司在这次灾难后一蹶不振，更多的是销声匿迹，破产倒闭。其中，摩根士丹利损失最严重，因为它在世贸中心总共租用了29.8万平方米的办公用地，有超过2687名员工。不过，让人惊奇的是这家美国第二大投资银行在“9·11”事件后，短短两天内便恢复了业务。其秘诀是，该公司在美国新泽西州设立了完整的业务灾难备份以及恢复系统。在灾难发生后的48小时内，摩根士丹利成功启动了灾难备份系统，使其业务得以恢复。

自2001年以后，全球很多大型企业的管理者在反思：面对类似“9·11”这类对企业能造成毁灭性影响的风险，自己的企业是否也能像摩根士丹利一样成功重启？自己的企业内部是否可以有人或机制能够预先识别此类风险，并实施一定的保护和防御措施，最终确保企业在这样的重大未知风险来临之时可以永续经营？于是CSO这个概念在企业运营结构中被反复提出。

所谓CSO（Chief Security Officer，首席安全官），与CIO、CFO、CTO一样，理论上这是一个企业内部的高阶职位，直接向CEO或董事会汇报，综合管理企业面临的安全问题。越来越多面临种种压力的企业认识到，必须把安全问题置于更重要的位置。这标志着安全变成一个关系业务价值和业务流程的词汇。为了有效应对大型灾难性事件，企业必须早做预防和准备，而安全系统结构的变化和安全问题的日益重要催生了第一代CSO。

当然，目前在不同的公司中，CSO有着不同的含义：有的负责保护物理安全，如保护公司数据中心各种设备的安全；有的负责数字信息安全，如防止公司网络遭到黑客的攻击。而随着企业日益信息化和数据化，人们发现，影响企业持续经营的要件并不全是生产设备、流水线等，还包括基于信息流和数据流的运转机制。因此，当今的企业安全不仅是一个涉及生产安全、人身安全的概念，更是包括信息技术、人力资源、通信、设备管理以及其他组织管控在内的综合性系统安全概念，这也是CSO这一职位的核心职责所在。

自20世纪60年代以来，中国企业的业务和信息化经历了创生、起步、发展、壮大等阶段，中国建立了全世界最齐全的工业生产门类，而如今依托新基建，更是进入了一个持续整合和优化提升的时代。

2014年2月27日，中央网络安全和信息化领导小组宣告成立。在这个小组的名字中， “网络安全”被放置在“信息化”的前面，标志着中国组织发展进入新时代，明确了以安全保发展、以发展促安全的新理念。

在这一新阶段，不同于以往一穷二白的创业期，中国企业在业务上激进开拓，需要通过制度和流程的保证，进行安全的驱动，像阿里巴巴的目标一样，要成为“经营101年”的企业。这不仅表现在经营利润上要能够支撑发展，更重要的是在面临危机和风险时不能突然死掉。

因此，未来CSO在公司中扮演的角色不可或缺。本书应运而生，尝试解决以下四个问题：

第一，未来企业需要什么样的首席安全官？

第二，如何认识和处理企业面临的危机？

第三，在安全要求下，如何在组织中构建一个全面的安全体系？

第四，如何面对未知风险对企业经营的挑战？

本书分为四篇，第一篇开宗明义地介绍了网络安全与信息化的内涵，让读者深刻理解信息技术对人们生产生活方式的影响、互联网对世界和社会基本面的改造，理解在新的格局和环境下安全与企业发展的关系，以及首席安全官的职业路径与技能图谱。

第二篇主要阐述CSO的一阶技能。对一个首席安全官新人来说，从组织内部安全事件和事故的处置方面入手是比较高效的。本篇介绍了网络安全事件处置的标准管理方法、安全事件分类分级机制的设定、安全事件的处理和回顾等内容，同时阐述了企业危机应对的机制设计、业务连续性管理和灾难恢复计划、应急与危机处理的实践案例等，从互联网企业到金融业务，从拒绝服务攻击到隐私泄露，运用实例加深读者对危机应对机制的理解。

第三篇则是面向进阶期的首席安全官来讲解的，重点阐述了贯穿企业业务生命周期的安全能力保障图谱，内容涉及风险管理和内控机制的设计和实施，帮助组织发现潜在的威胁和弱点，首席安全官如何取得企业经营者的支持并合理有效地分配资源，以及以网络安全能力体系为核心，构建全面的防护机制的方法和过程。

第四篇介绍成为首席安全官的高阶能力。不同于本书前面章节，本篇内容重点阐述首席安全官如何为处理未知的安全风险做准备，因为高阶的安全管理者时时面临的是非常规的网络安全问题。本篇内容主要涉及对未知风险的分类和描述，明确风险的来源与目标，以及应对未知风险的资源获取和分配原则；同时讨论了预警机制的建立—在第一时间得到未知风险的消息需要一整套过程和方法，还需要拓展网络安全的反制和威慑能力，最终实现对网络安全风险的可控可防。

由于笔者学识水平有限，书中观点和论述肯定存在不准确、不深入等问题，其他错误、纰漏与不足也在所难免，恳请广大读者批评指正。

最后，感谢企业网络安全专家联盟暨“诸子云”的成员为本书的撰写贡献了大量的智慧，感谢安在新媒体提供的技术支持。

现在，你可以翻开本书，与时代同行。 tKSSDz7SeqrHUQ7zmZTIap/9TBoIIm/mZGrro6E2S+sodj5zoB0xh9b4typtHW/E