||
首席安全官(Chief Security Officer,简称CSO) ,CSO也可以被称为CISO(首席信息安全官,Chief Information Security Officer的缩写)或者ISO(信息安全官,Information Security Officer的缩写),这是有别于CIO(首席信息官,Chief Information Officer的缩写)的独特之处。
https://baike.baidu.com/item/%E9%A6%96%E5%B8%AD%E5%AE%89%E5%85%A8%E5%AE%98/1832928?fr=aladdin
中文名 首席安全官
外文名 Chief Security Officer
首席安全官(CSO)负责整个机构的安全运行状态,既包括物理安全又包括数字信息安全。CSO负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、合规性、设备管理以及其他组织,CSO还要负责制订安全措施和安全标准。CSO需要经常举办或参加相关领域的活动,如参与跟业务连续性、损失预防、诈骗预防和保护隐私等相关议题的活动。 首席信息安全官即CISO,负责整个机构的安全策略。首席信息安全官需要经常要向CIO(首席信息官)汇报,有时甚至直接向CEO(首席执行官)进行汇报。
然而在现实生活中,首席安全官和首席信息安全官的角色经常是交互的。
一、CSO — Chief Security Officer,即首席安全官。
目前,继 CEO(首席执行官)、CIO(首席信息官)、CFO(首席财务官)之后,CSO 已经出现在一些大公司的高级管理层,有人预测,CSO 会像 CEO 那样在全球各大公司的高管团队中迅速出现。对于国内的许多公司来说,CSO 还不是一个很熟悉的名词。但是随着各大公司对信息安全的重视程度不断提升,CSO 这一新鲜名词将迅速为大家所熟知。
二、什么是 CSO?
在不同的公司,CSO 的含义也有所不同,有的负责保护物理安全,例如:保护公司数据中心各种设备的安全;有些负责数字信息安全,例如:防止公司网络遭到黑客攻击。CSO 主要负责监控、协调公司内部的安全工作,包括信息技术、人力资源、通信、设备管理以及其他组织,CSO 还要负责制订公司安全措施和安全标准。此外,CSO 还需要经常举办或参加相关领域的活动,例如:参与跟业务连续性、损失预防、诈骗预防和保护隐私等议题相关的活动。
三、为什么要设立 CSO?
CSO 的出现与信息技术的发展和受重视程度关系密切。以中国为例,从上世纪 60年代至今,中国企业的信息化发展经历了创生、起步、发展等阶段,现在已经进入了一个持续整合和优化提升的时代。企业开始关注信息化的可持续发展,其中信息安全和绿色 IT 等理念已经成为企业关注的重点。信息安全正在成为企业发展的核心竞争力,而目前企业的安全正在受到病毒攻击、人为泄密等严重威胁,设立专门负责信息安全的CSO能够为企业的发展提供有力的保障。
四、CSO 的职责是什么?
CSO 和 CIO 的工作都同信息密切相关,但是二者的最大差别在于,CSO 不仅要负责企业的 IT 应用系统的设计和规划,更重要的职责在于要负责整个机构的安全运行状态,即物理安全和数字信息安全。
具体来看,CSO 的职能通常包括如下几点:
对安全机构和服务提供商进行监控,由服务提供商负责保护企业资产、知识产权和计算机系统安全。
确定保护目标和保护制度与公司的战略计划保持一致。
制订及执行区域以及全球的安全政策、安全标准、指导方针和执行程序,以保证持续解决安全问题。信息保护职责包括:网络安全结构、网络访问和政策监控以及员工培训等等。
像调查安全缺口那样全面监控事件响应计划,如有必要必须帮助安全缺口部门完善培训计划和法律方面的事宜。
像独立安全审计顾问那样,与外部安全顾问一起工作。
制订全面的风险管理策略,并确保策略的执行。了解当前以及未来可能存在的风险,并且在必要时根据风险和威胁的变化及时调整策略。
全面监控产品的内部使用,并且确保工程小组与操作小组保持沟通,以便在产品出现问题时及时发现并解决问题。
进一步完善灾难恢复/业务连续性策略,通过每一个业务单元的共同努力,确保我们拥有一个整合性良好的计划和策略。
物理安全责任应该包括资产保护、工作场所危险防护、访问控制系统以及视频监控措施等。
因为各种因素促使各种安全问题纠集在一起,需要由一个单独组织进行统一保护,从业产生了CSO这个角色。因素包括一下几种:
在战术层面上,技术要素正在被注入到物理安全工具中,并且这些工具不断被数据库技术和网络技术所驱动。
在战略层面上,CEO和公司董事会根据一些法规,如萨班斯﹒奥克斯利法案,从企业高度对风险进行控制。
在实际操作层面上,CSO统一管理安全问题,可以显著降低运营成本。
安全策略通常需要根据企业的不同需求而有所改变,尽管不同的企业需要不同的安全策略,不过安全策略通常都必须包括以下职能:
1、对安全机构和服务提供商进行监控,由服务提供商负责保护企业资产、知识产权和计算机系统安全。
2、确定保护目标和保护制度与公司的战略计划保持一致。
3、制订及执行区域以及全球的安全政策、安全标准、指导方针和执行程序,以保证持续解决安全问题。信息保护职责包括:网络安全结构、网络访问和政策监控以及员工培训等等。
4、像调查安全缺口那样全面监控事件响应计划,如有必要必须帮助安全缺口部门完善培训计划和法律方面的事宜。
5、像独立安全审计顾问那样,与外部安全顾问一起工作。
6、制订全面的风险管理策略,并确保策略的执行。了解当前以及未来可能存在的风险,并且在必要时根据风险和威胁的变化及时调整策略。
7、全面监控产品的内部使用,并且确保工程小组与操作小组保持沟通,在产品出现问题时以便及时发现并解决问题。
8、进一步完善灾难恢复/业务连续性策略,通过每一个业务单元的共同努力,确保我们拥有一个整合性良好的计划和策略。
9、物理安全责任应该包括资产保护、工作场所危险防护、访问控制系统以及视频监控措施等。
1、认为安全问题仅仅是技术问题
2、试图将宏观问题与微观问题作对比
3、猜测用户对安全问题感兴趣
4、猜测用户对安全问题很了解
从上述CSO的职责说明来看,他在企业中发挥着举足轻重的作用,因此对CSO任职资格的要求也需要与其职责相匹配。
他必须是个理智、擅长表达、有说服能力的领导者,作为公司高层管理团队的有效成员,能胜任这一职位。能够就安全相关的概念进行广泛的交流和沟通,包括与技术和非技术各类人员。 具备商业计划、账目检查及风险管理的工作经验,还包括合同及商务谈判。 具备一定的法律背景,充分理解信息技术和信息安全,包括防火墙、VPNs、入侵监测以及其他安全设备。
管理能力。CSO要设计安全机制,制订安全规则,要和公司的管理层沟通,为什么需要这样的安全方案,他的管理能力要让他决定的事能做到。
安全机制包括防火墙、IDS、IPS如何部署等问题。针对网络上的漏洞、黑客攻击的手段,CSO要制订安全规则,使公司的各部门主管了解到需要做什么事情,并定期检查,对各部门的安全进行评估。
比如银行的在线交易业务,该业务的价格和新闻信息来自于别家的公司,银行要及时地拿到这样的信息,就需要连接到许多不同的第三方公司。同时,银行也要把交易平台公开对外,让用户登录进来,看价格,买卖股票。这样的业务很复杂,牵扯到对外、第三方和内部的重要资料,需要考虑的安全问题很多。
从第三方得到新闻,只能让对方传送新闻进来,不能有银行的内部资料让第三方得到,控制是单方面的,中间不能有差错。如果让黑客混进来,登了一个假新闻,市场就会受到严重影响。保证第三方的资料没有被改过,保证第三方的传送没有被中断,不只是技术上的问题。如果单纯从技术上考虑安全,那往往是不安全的。
对外,就牵扯到怎么控制用户,这需要制订一些规则。比如一个用户打错三次密码,就不能登录了,需要通过其它方式的认证才可以重新登录。这些规则不只是对外的,也是对内的。当用户进来后,是不是要有IPS和防火墙来防黑客,网络服务器是不是需要备份等都需要考虑。
对于银行的数据库,管理人员是不可以看到用户个人资料的,他只能管理数据库。数据库和网络服务器中间是不是需要加一些安全机制,怎么样去做认证保证用户资料的安全等,制订这些规则其实是很难的。
CSO还要懂技术。当然,技术上的要求并不是很强,但CSO必须知道目前新的漏洞、新的攻击是什么,用什么方式可以去防护,怎么样达到安全的要求。
比如一个企业要购买防火墙,CSO不仅要知道为什么要装防火墙,而且要知道怎么装,如何把网络服务器、邮件服务器集中在一个区域并与内部区域分开,以确保公司的内部区域受到保护。
现在开始流行IPS了,CSO就要知道怎么用IPS,放在什么部位,哪几个网络是非常重要的,不能让黑客进去,这些都是技术上必须要知道的。
CSO要有全面性的知识,要了解公司的运作,要具备法律上的知识。
比如银行的CSO,银行每个部门的安全需求都不一样,CSO必须要有很好的知识去了解。知识不是光指技术,他要了解具体部门是如何运作的,并用他的技术能力保证各部门的安全。CSO还要有法律上的知识,银行的每个部门牵扯到的法律也不一样,所以他也需要这样的知识。
Archiver|手机版|科学网 ( 京ICP备07017567号-12 )
GMT+8, 2024-11-25 13:01
Powered by ScienceNet.cn
Copyright © 2007- 中国科学报社