善于推销自己

　　为了让企业的信息安全风险管理政策彻底落实下去，CSO必须面对企业从上到下的所有人，他要做很多信息安全知识培训和协调工作，因此，他的沟通技巧非常关键，他要善于推销自己。“很多单位CEO和普通员工都会问，我们在网络安全领域投了这么多钱都做了什么？我们能得到什么好处？CSO一定要不断去宣传网络安全的成功故事，让整个单位的人看到成功实施网络信息安全管理策略后的效果。”应向荣说。CSO的职责不能完全依赖组织架构中自然将你放到某一个位置上去，而是需要通过自己的努力工作，获得成功案例后，推销给单位的高管，让他们真正认识到CSO安全队伍在整个单位里的巨大价值后，确定自己的地位。

　　不一定熟悉技术细节，但一定要懂风险控制

　　既然人们知道实现信息安全必须依靠管理和技术力量双管齐下，那么，也就意味着CSO既要懂技术，又要懂管理。“CSO不应由纯技术人才担任，他要有一定的信息安全知识，但不一定要知道技术细节，重要的是他一定要懂风险控制。”北京卫士通龙马网络安全技术有限公司总经理汪钊星说。CSO的定位在于，他应该对自己企业的整个IT系统，甚至非IT系统的安全进行安全评估；在评估基础上分析风险以及风险将对企业造成什么损失，然后采取一些解决方案预防风险的发生；如果风险最终还是发生了，他应该采取相应的补救措施。“技术不管多先进，由于每个行业的需求不一样，现有的技术方案并不能完全满足需求，因此，技术本身对CSO并不是特别重要。”他补充。

　　处理好人、组织、流程三大要素

　　CSO的管理职能更多的是体现在日常的管理上。“CSO在考虑信息安全管理的时候要从三个要素上考虑：组织、人、流程。”应向荣说。做事情要靠人去做，人组成了一个组织，反过来，组织可以给不同的人分配不同的职责。组织由人构成后，就要去执行一些流程。反过来，流程完善以后，就会变成一种规范，约束组织，约束人。人依托于这个组织，根据不同的岗位执行流程。三大要素都围绕整个公司的信息安全策略。所以，作为CSO，很大的职责是建立起信息安全管理体系，而信息安全管理体系里要特别着重考察人、组织和流程三大要素，这将占据CSO工作量的60％～70％，这个架构和体系将不断完善。

　　考虑企业整体安全

　　随着企业内的信息安全系统逐渐与物理安全的日渐融合，CSO的职责是否将得到提升？CA公司中国区技术总监赵大平认为，CSO一定会上升到关注企业的物理安全层次上，包括业务连续性、灾难备份以及门禁系统等，甚至上升到政策的制定层面，CSO必将发展到超越信息安全管理的范畴，成为一个宏观的安全概念。

　　在任何行业，企业领导人的责、权、利应该是划上等号的，然而，目前CSO却遭遇了严重的偏差，普遍面临责任大而权力小的尴尬，这势必影响CSO们在企业中发挥重要作用。

　　管理尴尬：CSO责、权、利不清？

　　CSO目前面临的主要管理困境是责、权、利不清。汪钊星说：“CSO的职责是什么？权力有多大？利益点在哪里？目前没有人能说清楚，如果这三个方面不清楚， CSO很难起到我们所希望的在中国网络安全保障方面所起的作用。”

　　缺乏意识还是执行困难？

　　理论上，单位一把手都了解责、权、利清晰的重要性，但一到实际工作中，就没法落实或执行下去了。汪钊星认为，实际上，CSO的责、权、利的划分在中国是个执行问题。

　　“比如说责任，CSO这个位置的官很难当，做好了是理所当然，但是，一旦出了问题，哪怕是很小的问题，人们都会指责CSO管理不力，如果出了大事，CSO甚至面临牢狱之灾。可是，在行业内的人都知道，世界上没有100%的安全，很难保证网络完全没有事故，因此这样的官谁也不敢当。”他说。这些细节问题造成了没有CSO能真正担负得起责任的局面。

　　处长的权力够不够？

　　在中国，国有大型企业，CSO这个位置基本上是处级干部，归属于科技司底下的信息安全处，这个级别还非常偏向技术人员。这些处长主要的精力扑在产品选型、处理日常的安全事故等方面，他们做的是很细致、很琐碎的事务，很少发现他们从全局的、战略性的角度去阐述企业安全规划，这跟他们的级别有关：一个处长没有权力做宏观的规划，顶多只是提出些建议，而组织内部的一些制度和规定，必须获得高层强有力的支持，并由高层领导来制定。

　　CSO地位低的特点决定了他的权力有限。

　　“目前CSO一般向两种人负责，一种是对CIO负责，另一种是对CEO负责。对谁负责，这两种情况并不一样，显示了CSO在企业中的地位。”应向荣说。中国的CSO多是处级干部或是信息中心主任，不仅在中国，整个世界都是这样，国外对CSO的叫法也有叫CISO或直接由CIO担任。这显示，CSO在组织中所处的地位普遍不高。

　　但情况并非完全如此，赛门铁克的黄健提出，根据他与中国某些大型公司信息主管的交流，他认为这种状况正在改观。他说: “国外很多大公司以及国内某些重要部门的信息安全主管，他们的权力是很大的，他可以给整个企业在网络、信息安全方面提出自己的意见，对企业信息资源分配提出自己的想法。他的责任就是保护这些信息资产不受侵犯，压力很大，但是权力也很大。”

　　利益点在哪里？

　　CSO的利益更不用说了，CSO做好了很难看到实际的效果。因为，网络平安无事就是效果，而这往往容易被单位领导和同事们忽略。但出了事就得承担严重的后果。没有相应的考核体系，只有责罚体系，怎么确定CSO的利益点在哪里？

　　清晰的划分带来什么好处？

　　某些大公司做得就比较好。刘科全以联想集团自己的信息安全管理为例，说明良好的责、权、利分工，将给组织带来实在的好处。联想集团有一个信息安全领导小组，专门负责内部的信息安全，目前还是CISO，没独立出来。它属于监督员，信息安全组在公司内部编制了7个岗位，有综合的法规制度管理岗位，有信息资产和相应的风险评估的岗位，还有防火墙、防病毒、VPN等产品的管理岗位。这些岗位相互配合，很好地完成了保护信息资产的任务，比如，最近的“冲击波”病毒，联想在15天前就要求所有的机器提前做准备，因此，每次像这样的病毒，联想集团都不受影响。

　　目前，CSO获得的网络信息安全技术，大多来自于厂商的推荐，但这种技术公正吗？是否带有强烈的产品色彩？

　　技术困境：如何装备技能？

　　网络信息安全领域的技术分类也许是IT领域中最细致的，通常有防火墙、IDS、反病毒、漏洞扫描等，而其他针对特定攻击事件的技术和产品举不胜举，如隔离网闸、审计、内容安全、访问控制……目前，中国的CSO获取技术的途径大多来自厂商自己的推荐产品，于是，CSO们整天面对排山倒海的技术推荐晕头转向。CA的赵大平强调，CSO面临着技术挑战，首先，当CSO面对的困境越来越多时，选择的安全产品会越来越多; 第二，随着网络攻击的频繁，CSO面对的安全故障报警信息也会很多、很复杂。

　　在海量的信息安全技术中，CSO如何装备必备的技术？从何处才能获得公正的技术推荐？

　　技术技能

　　“CSO不一定在每个技术领域都是专家，而且这也不可能，但他必须熟悉一些基本的技术。”应向荣说。他要装备的第一项技术是，业务连续性和灾难恢复的知识和技能；第二是风险评估和管理的技能，CSO最明确的职责是实现企业信息安全风险管理策略，作为领导者必须对风险评估管理技术有比较深刻的了解；第三是要较好地掌握审计知识，虽然风险评估里有审计内容，但此“审计”非彼“审计”，此审计涵盖的内容会更广一点。

(责任编辑：)