|O|

中国“CSO”走向权力中央

发布时间:2003-08-25 14:59 作者:计算机世界来源:计算机世界点击:加载中...次

“CIO有可能下岗，但CSO不会。”当北京卫士通龙马网络安全技术有限公司总经理汪钊星先生在8月14日举行的首届中国信息安全年会暨中国CSO俱乐部成立大会上做此惊人的断言时，会场鸦雀无声，来自各行各业3 00多位行业信息安全主管们陷入深深的思索中。

　　汪钊星的断言不无根据。随着全球企业关键业务连入互联网，首席安全官（CSO）掌握着单位越来越多的核心机密，CSO的地位将越发独特，不可替代。

　　他的断言还有另外一层意思，CSO肩负着沉重的责任。因为，网络信息系统不出事则已，一出事必定是大事，有可能使单位的关键业务中断，造成巨大的经济损失；也可能使单位蒙受巨大的声誉损失，造成业务的持续低迷。那么，CSO承担得起这样重大的责任吗？他的职位和权力特征决定了他的局限性，但他为企业CEO承担的重大责任使CSO成为未来掌握企业命运的核心人物。

　　然而，很多单位并没有意识到这一点，CSO责、权、利的不清，管理网络风险的方法不明确，极大束缚了CSO的发展潜力，也妨碍了单位对网络信息安全的监控。经过首届信息安全年会的高峰论坛，专家的共识是中国的CSO面临着巨大的挑战，任重道远。

　　今年7月初，《计算机世界》报委托计世资讯进行了一项对制造、金融、电信、政府及其他等5个重点行业信息安全意识的市场调查，报告显示，中国50.9%的行业用户建立了专门的信息安全管理机构，71.8%的行业用户对信息安全规定了专门的管理人员，并明确了相应的责任，只有1.3%的用户完全没有明确人员和责任。

　　这说明，中国一个稳固的CSO阶层正在形成。许多单位开始明确设立CSO职位，领导着专门成立的信息安全小组；而大部分规模稍小的机构，虽然没有设立专门的CSO职位，但一般指定了专门人员负责整个机构的信息安全，行使着CSO的职责。

　　但是，CSO究竟应该承担什么责任？行使哪些权力？享受什么样的利益？怎样才能成为一个优秀的CSO？网络信息安全问题如此复杂，目前恐怕没有人能将这些问题说清楚，这不仅是大多数CSO们目前正面临的困惑，也是单位一把手正在思考并亟待解决的问题。在CSO俱乐部成立的高峰论坛会上，中国信息安全产品测评认证中心副主任陈晓桦博士将这些问题抛给了与会的信息安全专家和CSO代表，通过思想的交锋与碰撞，使CSO的内涵及其工作方法逐渐清晰，进而描绘出保护网络信息安全的整体框架。这也是《计算机世界》发起成立中国CSO俱乐部的初衷。

　　思想的火花使CSO的概念逐渐清晰——他是一个既懂得管理又了解技术、既要熟悉单位关键业务又要了解单位整体网络状况以及单位风险控制目标、既要具备灵活的沟通技巧又要具备相关的法律知识的综合型人才。

　　基本要求：什么是优秀的CSO？

　　陈晓桦博士在开场白中这样定义CSO: “以前的企业、政府谈安全，主要是谈安全保卫、安全生产等，但在信息化发展的今天，我们谈的安全主要是网络信息安全，CSO更多的是承担信息安全管理者的角色。”CA公司中国区技术总监赵大平认为，CSO这样一个角色，正处于起步和发展当中，CSO肩负的责任、履行的功能和职责是非常重要的。

　　那么，在承担这一信息安全管理者角色的过程中，CSO应该具备哪些基本素质呢？

　　熟悉企业关键业务

　　毫无疑问，一个不懂本单位业务的人是无法承担安全管理的职责的，当联想公司信息安全服务事业部技术总监刘科全将这一观点呈现出来，得到了热烈的响应。他说，CSO要具备“一个头、两只手和两只脚”。他的头脑应该是聪明的，善于沟通，具有领导能力。他的两只脚要站到企业的业务上去，一定要对本企业关键的业务非常熟悉，因为网络信息安全是为信息化服务的，信息化最终是为业务战略服务的。他的两只手要一手抓技术、一手抓安全，他要对安全产品、安全理念、安全标准有较深入的认识，在风险管理、策略管理及供应商的管理等方面，具备极强的管理能力。

　　赛门铁克中国区销售总监黄健补充，在实际信息系统中，没有100%的安全，作为一个CSO，要了解企业的信息资产哪些最重要、最需要保护，哪些重要性次之，以便在现有资源基础上，使企业的网络信息安全得到最佳的保护。

　　实现风险管理目标

　　各个单位设立CSO的角色并不是为了设立而设立，他的使命是什么呢？换句话说，他要为本单位带来什么切身利益？冠群金辰公司策略总监应向荣认为，CSO的使命应该是在信息安全上采取一定的策略和技术，保障业务的连续性及效率，是推动企业业务发展的非常重要的角色，明确地讲，是实现整个企业在信息安全风险管理上的目标。“CSO应领导一支队伍，在现阶段可能是一个技术队伍，但未来一定是一支管理队伍，给企业提供信息支持和服务。”他说。

　　确定自身的价值

　　具体做法上，CSO自己要明确的是他将产生的价值和对他的定义。“通过对信息资产的评估，分析存在的风险，综合运用技术、管理、运作、组织等手段，把信息资产的风险降低到可以接受的程度，这是CSO核心的价值和关键的职责。”刘科全说。

　　熟悉相关的法律

　　无论国内还是国外，CSO的责任一定会越来越重大，地位也将得到提升。到了一定的地位以后，CSO将直接向公司的管理层，如CEO、CTO、CFO负责，此时，必须要考虑相关的法律问题。“因为，CSO所管理的内容很多与法律相关，比如组织记录需要保存多长时间？客户资料需要保存多长时间？最终需要法律界定。”应向荣说。目前CSO很明确的职责可能是带队完成领导布置的任务，实施企业风险管理策略，将来CSO地位提升后，随着我国信息安全保护法越来越完善，他必须熟悉相关的法律，并将它结合到单位与业务流程相关的工作中去。

(责任编辑：)