首席信息安全官 (CISO) 的角色与 数字安全环境

各组织对什么是和什么不是数字安全有不同理解。因此，对各组织来说他们就纠结于谁负责实施数字安全和谁负责决策，这使得是否应该考虑和设置首席信息安全官 (CISO) 岗位这一问题变得更加复杂。

CISO 的职位和职责非常不确定，因为数字安全涵盖企业事务的诸多方面，组织甚至无法确定能否对这一角色的职责设置权限。

组织期望 CISO 是技术奇才、业务精通者还是二者的结合？组织是否希望 CISO 成为保护企业计算环境和信息资产的执行人和负责人？CISO 应该成为执行团队的成员，还是应该归入信息技术 (IT) 小组

数字安全这个主题使得执行团队难以定义 CISO 在组织中的角色。高级管理层对网络安全职能的希望或期望与 CISO 的职责范围之间存在若干关键差距，了解如何缩小和弥合这些差距至关重要。

CISO 的职责范围可能非常广泛，具体取决于组织的规模和/或执行团队如何看待数字安全。

CISO 的隶属关系

要确定 CISO 在组织中的角色和位置，必须理解组织本身、它所提供服务和/或产品的类型、与其他业务部门的关系、组织的地理范围、它必须遵守的法律法规、企业的愿望和未来前景。高级管理团队中 存在许多尚未平息的争论：谁负责履行数字安全 职能，以及如何证明 CISO 在组织内的职位和角色的合理性。以下是数字安全领域中一些争议和争论 主题：

• 确定 CISO 职位理由时要克服的障碍 — 企业面临许多问题，这为设立 CISO 职位和组建数字安全组织奠定了一些基础。这些问题中的任何一个或几个都可以成为设立 CISO 职位的理由，其中有内部和外部安全泄露、安全事故造成的财务损失、符合国家法律法规的要求、保护组织声誉、风险偏好以及众多其他情况。
• 隶属关系 — 组织中对于应该将 CISO 置于组织结构图的何处存在争议。需要考虑的问题之一是， CISO 是否下属于
  • 首席信息官 (CIO)？答案是：得看情况。数字 安全是从信息系统和技术学科中衍生出来的， 其发展以该学科为基础。CISO 可能会争辩说，信息系统和技术团队是技术和系统控制措施的 实施者。但是，如果由同一个实体负责治理和报告 IT 控制的有效性，可能有悖职责分离 (SoD) 原则。
  • 首席财务官 (CFO)？答案是：得看情况。上述针对 CIO 的论点，也适用于 CISO 是否应该向 CFO 报告的问题。面临的问题是职责分离以及与 IT 相关的财务控制。
  • 企业审计委员会 (AC)？答案是：很可能不需 要。如果由审计委员会报告其所运作的控制措施的有效性，那么独立性将成问题。
  • 组织的首席执行官 (CEO)？答案是：很可能需 要。对于一个成熟、复杂的跨国公司而言，如果数字安全计划旨在以自上而下的方式支持企业的业务目标，则 CISO 向组织的 CEO 报告更为 适合
• CISO 和尚待解决的数字安全结构 — 组织内的不同部门可能会就前面所述的 CISO 的报告结构展开争论或表示反对。动机和政治是人性的一部分；组织内的不同派系可能会针对各种 CISO 隶属关系，提出若干可论证的原因和理由。

CISO 角色

对 CISO 的期望是什么？对这个问题的回答可以反映企业管理层的批判性思维、组织的复杂程度、IT 学科的复杂性和对其的理解以及数字安全投资的理 由，并且它要求组织内的不同职能部门就 CISO 的职位结构展开讨论，并从职场政治出发质疑或赞同某一观点。

根据经验，通过这种方法能够客观阐明对 CISO 预期的责任；组织提供的可交付成果的类型，例如产品或服务；以及预期对所处国家/地区或业务触及国家/ 地区法律法规的遵循情况。

CISO 面临的挑战

CISO 面临着一系列挑战，其中的典型挑战是在企业高级管理层对网络安全的看法和理解与 CISO 角色范围之间存在差距。对于自己的角色以及预期应具备的经验，CISO 专业人员有不同的见解。以下是一些关键差距：

• 差距 1：CISO 是否应该从以技术为重点转向以业务为重点？传统上，CISO 职位衍生自 IT 环境，大家自然而然地认为 IT 技术人员应该负责他们所管理的计算环境的 IT 安全。通常，IT 技术人员对组织的完整业务转型缺乏了解或兴趣。此外，IT 资源通常不愿意卷入到业务部门的事务中，无法充分理解组织各个业务部门的要求以及要求的严重性。这种状况正在慢慢改变，但将 CISO 从技术转向业务的势头，仍赶不上各种复杂法规遵从要求所规定的业务规则的快速变化。越来越多的法规具有地域依赖性和/或跨国要求。欧盟的《通用 数据保护条例》(GDPR) 便是一个很好的例子， 它加重了法律责任并要求组织更加注重数据保护实践。
• 差距 2：CISO 应该向谁报告（直接下属于谁）？信息安全治理是董事会 (BoD) 和高级管理人员的责任。国际标准化组织 (ISO)/国际电工委员会 (IEC) 标准 ISO/IEC 27001 陈述了，最高管理层应表明并确保制定信息安全政策和信息安全目标，且信息安全政策和信息安全目标符合组织的战略方向，同时将信息安全要求整合到组织的流程当中。¹ 如果组织同意，则应设立 CISO 职位，下属于企业的 CEO。如果组织认为数字安全应划入 IT 职能，那么在面对快速变化的数字安全挑战时，他们可能很难迅速采取应对行动。由于安全泄露对组织的声誉、知名度和业务目标实现能力存在巨大影响，高级业务主管越来越认识到数字安全的重要性以及对 CISO 角色的需要。

CISO 负责向高级管理层解释数字安全风险，包括 可能出现的问题、威胁的严重程度、组织的风险偏好、企业可接受的风险水平以及缓解风险的成本。这些职责要求 CISO 必须像能够解释技术知识一样熟练使用业务语言。

• 差距 3：如何证明数字安全投资组合的合理性？数字安全与企业业务目标未能联系在一起。CISO 必须根据企业的业务要务与高管级（C 级别）人员沟通。CISO 面临的一个关键挑战是如何从成本与效益的角度，量化所请求的数字安全投资组合支出对企业的影响。许多组织的管理层根深蒂固地认为数字安全是一项成本，而非投资。要改变这种观念，很大程度上需要 CISO 证明数字安全投资能够带来被认可的投资回报 (ROI)。在这种情况下， CISO 需充分利用其背景和技能。技术出身的 CISO 付出很大努力将数字安全计划与组织的业务要务和方法结合，以量化投资回报并且证明数字安全举措的合理性。²
• 差距 4：组织是否完全了解数字安全职能？要拿到网络安全预算，CISO 必须证明预算的合理性。相比信息技术，在组织内证明数字安全投资的合理性更具挑战性。与 IT 投资组合解决方案相比，数字安全投资组合解决方案定期评估的间隔更短。数字安全是动态的，存在一些被动模式，会根据新的威胁、事故和新法规的出台而发生变化。部署更高自动化程度和机器学习能力可优化数字安全环境，但必须有人类智能及干预做辅助和/或 补充。“熄灯计算”的概念是描述一个数据中心的许多计算机/服务器在无人职守的条件下正常运行，但这一概念在数字安全领域却行不通
• 差距 5：CISO 属于 IT 职能范畴吗？IT 界希望在 其组织职责和解决方案组合中承担数字安全管辖权。这种文化的支持者数量正在减少。然而， 由于高级管理层缺乏了解，不知道数字安全包括一系列复杂职能并致力于使组织保持弹性，因此阻力仍然存在。IT 运营的衡量以客户服务和运营效率为基础。将数字安全划入 IT 职能范畴的风险更大，因为这种情况下，IT 要务多样、缺乏职责分离 (SoD) 并且存在利益冲突。

值得一提的是，大企业的 IT 生态系统通常呈现高度分散态势。如果保护范围较大，可能对 CISO 构成挑战。例如，对于存储用户个人和私人信息的系统，支付卡行业数据安全标准 (PCI DSS) 可能要求组织建立独立的集中式计算环境。另一方面，区块链技术及其分布式架构是推动组织走向分布化处理的最大力量之一。问题尚未解决，因而加剧了 CISO 和企业面临的挑战。

• 差距 6：云和移动性是否会带来挑战？值得一提的是，大企业的 IT 生态系统通常呈现高度分散态 势。通过云计算架构和服务，企业在改善运营和降低基础设施成本方面取得巨大成效。但是，云也为 CISO 和企业带来极大的安全挑战。云削弱了传统的“网络安全边界”的概念。

此外，用户可以通过各种设备（如笔记本电脑、台式机、移动设备和物联网 (IoT) 设备）在不同地方工作并远程访问云应用程序。这些设备都有可能绕过精心设计的外围防御机制，为组织和 CISO 带来巨大挑战。

缩小差距

组织可以考虑这些因素，以确定是否有理由设立 CISO 职位、CISO 应向谁报告（隶属关系），以及 CISO 应具备哪些特质。如果以下任意要求至关重要且企业必须满足，则应考虑设立 CISO 职位和网络安全职能：

• 涉及私人信息（例如姓名、地址、财务数据、社会保障号码、个人识别信息 [PII]）
• 涉及企业知识资产（例如专利、秘密配方、财务数据、工资单信息、保险数据）
• 符合法规要求。这适用于国有企业以及国家、州和地方合规法律法规。
• 企业是跨国公司，数据存储或传输跨越多个国家边界
• 是处理上市企业数据和知识资产或机密私人信息的第三方供应商³
• 内部和/或外部审计师要求提供交易证明和凭证
• 由同一个职能小组或资源执行交易监管、批准和报告等已确定控制措施的监督和维护时，IT 和数字安全之间存在冲突，施行职责分离至关重要
• 面临云架构和数据访问以及用户控制。将有一个令人信服的理由来审查并转而重新思考当前的网络安全实务，以便让企业进入网络弹性模式。网络弹性包括但不限于数据和信息备份、灾难恢复业务连续性、基于角色的访问控制、重要企业资产细分和分析监控。这不会减少常见的网络安全漏洞和重点，例如为用户讲解社交工程和网络钓鱼方面的知识、正确配置防火墙、及时和定期执行安全修补。
• 可以根据企业的业务、文化和战略添加及考虑其他因素。

CISO 角色的维度

CISO 角色正在从严格以技术为重点演变为以流程和业务为重点。

人们期望 CISO 能够保护企业资产、了解企业目标、与高级管理团队沟通、制定规则、提供监督、了解业务的交叉职能、与业务部门建立关系、接洽外部商业团体、衡量企业的风险偏好、确定适当的解决方案组合、监控和预测风险，以及应对安全事故 违规。

CISO 必须根据政策、程序和最佳实践主导及促进组织的数字安全治理工作，监督和监测对于政策的遵从情况以及当前面临的和预计会出现的威胁，并正确选择数字安全解决方案。

此外，CISO 必须建立、促进和支持一种文化，将数字安全责任落到组织的所有员工身上。落实和遵守数字安全政策是组织所有员工的共同责任。实时 监测和衡量关键绩效指标 (KPI) 是 CISO 的主要职责之一。

基于风险的文化转型以及 CISO 角色

要保护企业的关键资产，必须在组织内建立一种基于风险的文化：网络安全，人人有责。有多种因素可促成基于风险的文化。大家都希望 CISO 能够精通业务，精通技术解决方案和风险预测，从而引领这种转型。这是实现自上而下和自下而上的目标的一大动力。以下是实现此类转型的一些基本要求：

• 在组织中，CISO 是业务部门的可靠顾问。CISO 应能够提供咨询服务并具备多种不同特质，例如业务头脑、技术见解、团队引导技能、将技术解决方案集成到业务中、员工导师等等。CISO 是在企业文化转型中发挥重要作用的主要人员之一。
• CISO 必须推动组织的基础设施从旧版系统和架构转型。最重要的是转变组织的传统思维，这也是目前企业向基于风险的文化转型的过程中面临的一大阻力。为取得这种一致性，组织必须通过基于风险的文化转型，将业务活动与业务部门的职能活动联系起来。
• 风险状况归属于有流程控制权、项目管理权和 资产保管权的实体。CISO 及其组织不承担运营风险。但是，如果现有控制措施的设计和运行有效性出现问题，CISO 必须为此担责。当组织实施转型，风险不再由某个实体承担，而是融入企业文化并由所有员工在其日常工作中负责践行时，这个问题就会变得无关紧要。
• CISO 负责通过使用适当的工具来控制网络安全仪表板和报告关键绩效指标 (KPI)。

在数字安全领域，明智的做法是确定 KPI 并将其与相应的关键风险指标 (KRI) 对应。必须定期衡量和报告 KPI 及 KRI。

KPI 的关键维度是：对技术基础设施的投资；通过 培训、研讨会和现实案例研究分享对企业人力的投资；通过记录标准操作程序对安全政策、最佳实践和一致性等流程的投资。

及时发出违规警报、进行风险预测和分析风险状况发展趋势，对于确保组织通过书面程序有效应对风险事故至关重要。⁴

• CISO 在组织各业务部门的关键控制设计中发挥着至关重要的作用。这是 CISO 的特质自证其用的地方，作为值得信赖的顾问，CISO 角色至关重要。

控制措施有效性的提高和下降都主要归功/归咎于业务部门。在既定设计中，业务部门的员工是控制措施的使用者和操作者。违反设计中包含的先决条件可能会导致利益相关者造成的风险。在基于风险的文化转型过程中，定期为最终用户提供网络培训是一项关键工作。

证明数字安全投资组合的合理性

数字安全涉及较多的 IT 技术知识，技术人员一般难以用业务术语为管理层量化描述拟议投资的有形和无形效益以及预期回报。通常，为证明数字安全解决方案的合理性，他们都会采取恐吓战略，告诫高级管理层如果不相信拟议数字安全解决方案的合理性，则由其承担相应责任及后果。

CISO 有责任在有限的时间范围内，将数字安全投资组合与企业的业务目标关联起来。通过承担主要责任将数字安全解决方案与组织目标相关联，并阐明它们如何影响整个组织和/或单个业务部门，CISO 的业务、管理和咨询技能得到检验和展示。应尽量 以量化方式证明方案的合理性，以便高级管理人员理解。

CISO 必须发挥主导作用，开发商业案例，证明所提议数字安全举措的商业合理性及其对整个组织的影响。这方面的一个例子是，开发描述业务目标、业务部门和数字安全举措之间关系的分层式业务架构（图 1）。

安全投资回报责任矩阵

CISO 必须率先与组织的关键利益相关者进行协商，通过确定企业的业务目标、当前面临的挑战、业务动力和数字安全投资组合，开发企业分层式业务架构。

关键业务部门的利益相关者将能够确定分层式业务架构的关键属性，为 CISO 提供必要信誉和所需的支持，帮助组织向基于风险的文化转型。图 2 根据预期的可交付成果描述了各级利益相关者的责任和支持角色。

职责分离 (SoD) 模型和测试 — CISO 与 CIO 职能之间的分离

正如 ISO 27001 中所述，职责分离要求将职责和责任范围分隔开来，以减少未经授权或无意修改或者滥用组织资产的机会。⁵ 得到最广泛认可的职责分离模型要求分离交易的授权 (AUT)、保管 (CUS)、记录 (REC) 和验证 (VER)。

在数字安全领域应用此类模型的一个示例是，借助一些常用的 IT 实践向用户授予组织关键信息资产的访问权限。⁶

以下是在组织内实施职责分离的工作流程示例， 当一个向某用户授予企业资产访问权限的新请求 发出：

• 请求将成员添加到 Active Directory (AD) 基于角色的访问控制 (RBAC) 中。
• 在 AD 中为成员授权。
• 在 AD 中输入成员。
• 监控用户已添加且可访问 AD 中的关键信息资产的警报。
• 声明 AD 流程控制的设计。
• 证明 AD 流程控制的有效性。

在员工较少的小型组织中，实行职责分离可能有点困难，此时可通过补偿性控制和实施最佳实践来阐明。涉及企业资产和数据访问权限的政策和程序必须落实在雇用员工/承包商流程中，并在受佣期间始终进行监督和审核。如需向一名新用户授予企业数据访问权限，则必须采取要求至少两个人签名的补偿性控制措施。

图 3 通过审查行和列中是否存在责任重叠来测试组织的职责分离情况。为确保不存在冲突或施行了职责分离，同一实体名称不得多次出现在职责分离表的同一行或同一列中。

为了让组织在 CISO 与 CIO 这两个职能之间实现明确的职责分离 (SoD)，必须将管理和报告合规状况的 IT 与数字安全角色分开。否则，组织中可能会出现利益冲突，因为由同一个组织部门负责任意两项或多项活动，会引发针对关键交易既定控制运行有效性管理和报告之独立性的质疑。

我们通过职责分离测试得出的结论是，在组织结构图中，CISO 不应向 IT 职能部门报告或划入 IT 职能范畴。

总结

CISO 角色及其职责之所以会在企业内成为一个受人关注的问题，原因有很多。数据泄露事件的增多、泄露造成的后果、法规规定的合规性、信息的跨国界传播、新兴信息技术架构和服务以及外部审计师对证明的要求，使得 CISO 职位成为董事会与高级管理人员之间无法避开的一个议题。

职责分离的重要性凸显出这样一个事实：CISO 既不应该成为 IT 组织结构的一部分，也不应该下属于 CIO。

由于 CISO 在组织结构图中的级别更高，因此组织更加重视该角色及其技能水平要求。它将 CISO 从以技术实施为重心转向以业务为重心，要求 CISO 能够将数字安全视为一个重要的业务部门进行监督，证明其相关性，并证实相对于企业净利的投资回报 (ROI)。

此外，企业正逐步演变为基于风险的组织。因此，企业文化也应相应转变为基于风险的文化，数字安全应该成为企业所有员工的责任。然而，这种文化转型给 CISO 带来了更大的压力，因为这要求 CISO 成为值得信赖的顾问、企业业务部门的整合者以及关系建立者。数字安全正成为将企业产品和服务与企业业务职能联系在一起的桥梁。

尾注

¹ International Organization for Standardization, ISO/IEC 27001, Information Technology—Security Techniques—Information Security Management Systems—Requirements, www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103
² Putrus, R. S.; “A Nontraditional Approach to Prioritizing and Justifying Cybersecurity Investments,” ISACA Journal, vol. 2, 2016, www.isaca.org/resources/isaca-journal/issues
³ Putrus, R. S.; “Risk-Based Management Approach to Third-Party Data Security Risk and Compliance,” ISACA Journal, vol. 6, 2017, www.isaca.org/resources/isaca-journal/issues
⁴ Peláez, M. H. S.; “Measuring Effectiveness in Information Security Controls,” SANS Institute, 2010 年 4 月 10 日
⁵ Op cit International Organization for Standardization
⁶ Ferroni, S.; “Implementing Segregation of Duties: A Practical Experience Based on Best Practices,” ISACA Journal, vol. 3, 2016, www.isaca.org/resources/isaca-journal/issues

Robert Putrus, CISM、CFE、CMC、PE、PMP

是信息风险管理和合规安全官，在网络安全、信息系统、合规服务、项目管理和专业服务组织管理方面拥有 25 年的工作经验。他有部署各类网络安全框架/标准的丰富经验。Putrus 在专业期刊上发表过多篇文章和白皮书，其中有的已被翻译成多种语言。经常有出版物、文章和书籍引用他的言论，包括美国工商管理硕士 (MBA) 课程的教材。他的联系方式为： linkedin.com/in/robert-putrus-8793256.