下载掌阅APP,畅读海量书库
立即打开
目前,很多组织都专门成立了相应的网络安全小组,形成了组织的网络安全决策层、管理层、执行层等机构,确保了人员的配置和安全责任制的落实,但还没有明确设立CSO职位。网络安全小组通常由企业的一把手管理,同时指定了安全专职人员负责整个企业的网络安全,实际上后者行使着CSO的职责,这些安全专职人员可以称为“准CSO”。通常这些“准CSO”是纯技术人才,熟悉某一方面的安全技术,如防病毒、防火墙、入侵检测技术等。然而,一个真正CSO的知识要全面,不仅要懂网络安全技术,而且要懂安全管理以及组织运营等方面的知识。
华盛顿特区伊克塞尔希尔学院国家网络安全研究所在一份针对CEO的调查报告中列出了如下顶级CSO招聘里最期待的能力(百分比为提及此项能力的受访者人数占总受访人数的比例):IT安全知识77%、商业知识77%、沟通技巧67%、领导能力64%、行业知识3%、管理技能39%、人际交往能力33%。
我们发现,在对CSO能力的需求中,商业知识、沟通技巧、领导能力等非技术领域技能的比重较大。这说明CSO是一个综合能力要求很高的岗位。
2019年,企业网络安全专家联盟(诸子云)发布了CSO的知识体系,将首席安全官应具备的知识分为组织领导能力、战略规划、安全管理、风险管理、安全技术等五个部分。
战略规划包括战略思维、理解业务、战略预测、制定战略、战略架构、制定目标、分解目标等几方面。
安全管理包括安全体系ISMS、法律法规、安全运营、安全运维、资产管理、人员安全管理、安全意识和培训、组织机构建设、安全策略体系。
风险管理包括风险管理组织、信息安全风险管理准则、风险范围和边界、风险评估、风险处置、信息安全风险的沟通、风险监视与评审。
安全技术包括攻击技术知识(如互联网攻击、内部攻击、社交攻击)、防御技术知识(如基础设施安全、通信与网络安全、计算环境安全、应用程序安全、数据安全等)。
而通过对国内CSO群体的走访,我们发现下列技能素养对于国内网络安全高级人才来说是不可或缺的。
风险管理是指识别组织的信息资产,评估威胁这些资产的风险,评价假定这些风险成为事实时企业所承担的灾难和损失,并采取一些解决方案以预防风险的发生及进行损失补救。风险管理是组织安全管理的核心。
要执行风险管理,首先必须熟悉本单位的核心业务(如业务的流程、边界等),并识别关键信息资产,如哪些业务是关键的,需要采取高强度的防护措施进行防护;哪些业务是次要的,防护措施的强度可以低一点。同时,要了解业务系统安全与运行质量性能的关系,以避免为了提高信息安全而大幅度降低网络系统运行的质量和性能。因为网络安全是为信息化服务的,而信息化最终是为企业业务稳定持续发展服务的。
其次,CSO要制定一个风险管理策略,该策略是企业整体安全策略的组成部分。风险管理策略需要明确风险处置的几种方式,如降低风险、转嫁风险、接受风险等。因为安全是相对的,对风险的处置应该有一个度,如果风险处置的费用超过了系统本身的价值,则消除风险就毫无意义了,因此,应制定一个合理的风险管理策略。
CSO要熟悉业务持续性运行与灾难恢复的知识,如对保证业务持续运行的系统和数据进行备份,并且配备必要的应急设施和资源,如系统的启动盘、系统和网络管理员的电话号码、协助厂商的求助电话等。一旦企业网络系统发生问题,就可以统一调度,对安全事件进行快速响应,最大限度地降低企业的损失。
CSO应对安全理念如信息安全模型、国际和国内安全标准有较深入的认识,安全标准包括安全策略的标准、安全评估的标准、安全产品选型的标准、安全工程实施的标准、安全管理的标准等,了解这些安全标准可以更好地实施网络安全建设。CSO还应熟悉常用的安全技术和安全产品,如防火墙、防病毒技术、加密技术、物理隔离技术等,了解它们的原理和部署等知识,这可以提高CSO自身的素质,并树立自己在企业中的威信。
CSO要了解信息化与企业商业模式的内在联系,中国过去40年的经济发展在很大程度上依靠的是企业信息化背景下对商业模式和企业管理的创新,如今中国已成为全球互联网规模最大的国家,并且催生出在线支付、共享经济、外卖经济等独特于世界上其他国家和地区的新商业模式,未来这种趋势会进一步加大,更多独特的商业创新模式会诞生。在这样的背景下,CSO要能够预判和领先于网络发展潮流,从而支持和保障未来新业态下的企业发展。
CSO要具备良好的上下沟通能力,因为企业的安全管理制度和安全策略要贯彻执行,必须得到企业高层领导的许可和支持,同时要得到企业员工的理解。但在实际情况中,很多领导和员工都要问:我们企业在网络安全方面投入很大,到底取得了什么效果?这时CSO要让他们理解,网络和业务系统的正常持续运行就是安全工程实施的效果。
网络安全是“三分技术、七分管理”,这强调了管理的重要性,特别是要加强对人的管理。因为无论是安全制度的落实,还是安全技术和安全产品的部署,最终都是由人来执行的,但在实际中人往往是最难管理的,这就要求CSO须具有很强的管理能力。
CSO还应熟悉安全法律和法规,以及行业和企业规章制度,如关于涉密系统的联网规定、系统日志保存的时间规定、系统和数据的备份规定等,并把它们应用到企业的业务工作中。
总而言之,要想成为一名合格的CSO,需要在以下方面努力:首先要强化业务知识的学习,这不仅包括风险管理、安全技术、安全标准等相关的信息安全知识,而且包括企业自身的业务流程、边界等;其次要提高管理能力,特别是日常管理能力;最后要加强与国内其他组织,以及国外企业、组织的交流,学习这些企业中CSO的成功经验,吸取他们的失败教训,争取少走弯路,早日成为符合企业需求的合格CSO。