张耀疆:赋能业务是首席信息安全官的发展方向

资讯 作者:安在 2021-12-21 23:54:44 阅读:499

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786


编者按:

张耀疆,安言咨询和安在新媒体创始人,在网络安全领域从业二十多年。近年来,他致力于网络安全领域用户社群建设、运营与发展,以及以首席信息安全官(CISO)为代表的用户端网络安全文化与最佳实践的培育和推广工作。在接受本刊记者的专访中,张耀疆表述了对 CISO 的主要职能、发展态势的见解,并对 CISO 的发展规划给出了建议。


记者:首席安全官(CSO)或首席信息安全官(CISO)概念是如何产生的?
张耀疆:CSO 或者 CISO 的诞生是多方驱动的结果,合规、业务都是很重要的推动力。
直到今天,安全部门大多还是 IT 部门的下属分支,职能就是把网络管好。当前,数据安全、业务安全越来越重要,安全本身的内涵在拓展,渐渐变成大安全。这时安全团队需要不断地和业务部门沟通,但权限过小,在管理上难以有管控力。
所以,从安全部门的组织架构建设上来看,首先要把安全部门变成一个跨组织跨部门的协调机构,不只是 IT 部门的一个安全管理机构。组织架构是企业安全治理最重要的工作之一,任何管理体系都建立在组织架构的基础上,进而到上层治理层面,具体而言就是谁牵头,负责哪些工作,担负怎样的责任,牵涉到哪些部门,都需要梳理清楚。安全部门负责人能够协调各个部门,能够和企业领导对话,争取资源,这个角色就是 CISO,具体称谓在各个企业中有所不同。
以金融行业为例,CISO 在金融领域发展相对成熟,因为金融领域一直重视风险管理,最早对安全的认定就是风险管控。相关部门包括风控、IT、各个业务部门,从审计到风控一脉相承,然后再到安全,最后形成全组织统一的安全管理组织架构,这时就会有一个首席安全官,通常还是隶属于 IT 部门。

记者:当前国内 CISO 的发展情况如何?
张耀疆:就目前国内的发展情况来看,CISO还处于一个早期阶段,更多的还是个技术岗,没有进入到管理层,但未来一定会变成一个很重要的概念。业界对此早有呼声,包括全国政协委员、启明星辰集团 CEO 严望佳在内的“两会”代表,在提案中就不止一次提出要推行首席安全官制度,特别要在关键基础设施、敏感部门、政府机构设立首席信息安全官。
CISO 这个角色很难一开始就能被清晰地定义,其制度的设置和职责的明确,需要一个铆合的过程。CISO 是一个舶来品,国外很多企业都设有 CSO,国内很多金融企业和互联网企业设置了 CISO,但其他领域目前进展还比较慢。互联网企业在安全工作上相对重视,愿意投入。但互联网企业的业务发展太快,安全工作往往没有现成的案例可以参考,甚至都没有合适的产品可以拿来使用,安全是一种边建设边学习的态势,所以互联网企业安全体系的建设大多以自主研发为主。那么,互联网企业的 CISO 要做的,就是根据业务需要,甚至要前瞻性地预判安全趋势,去做好相应的安全建设工作。金融行业的 CISO 以风控为主,因为金融行业的 IT 体系建设进行得比较早,相关的安全体系建设也比较成熟,特点是追求业务运行的稳定,不会有大的调整,安全工作更多的是局部的优化。大型行业和央企一般设置有专门的科技公司或者 IT 公司,信息安全也在其中,以制度建设、等保合规为主。
各个行业对 CISO 的定义和理解都不同,在数字化转型的大背景下,可以预见 CISO 将成为业界“刚需”,渐渐会形成一个统一的认识。

记者:在大安全的概念下,您认为 CISO 的职能包括哪些?
张耀疆:CISO 是一个弹性非常大的角色,就和安全一样,小到狭义的网络安全,大到企业业务层面的安全赋能,无所不及。
就 CISO 的字面而言,可分为三个部分。O 代表着管理职能,意味着这是一个管理者;中间的 IS 代表着专业性,即在信息安全领域的专业能力;C 则体现高度,体现岗位的战略定位。
对专业性来讲,CISO 必须要对安全有整体的理解,例如合规、数据安全、开发安全等,无论是技术还是管理运营,都能够把工作推行下去。作为管理者,CISO 首先能够管理好团队,明确人员配置、职责,安排人、财、物各个方面,做好预算,以及与内外部、上下游产业链的资源合作。在战略定位上,CISO 的工作要和企业的发展战略相匹配,根据企业的业务发展、战略发展、内外部环境的变化等,制定安全方面的战略。

记者:CISO 的价值主要体现在哪里?
张耀疆:CISO 的价值,也是整个信息安全业务在企业的价值。CISO 是信息安全业务的最直接体现,代表着安全业务在企业的存在感和价值感。初级的CISO 是“消防队员”,哪里有问题去救哪里,基本上就是“背锅侠”。做得好一些的 CISO不仅能“背锅”,还能应对各种合规检查。高级的 CISO 则创造价值,甚至可以处理好可能影响企业声誉的安全事件。
安全业务是一个此消彼长的情况,和人的能力有关,在市场化比较强的企业如互联网公司,一个有能力的 CISO,可以表现非常突出,甚至将安全和企业的运营相结合,用安全赋能企业的业务发展。安全部门需要和各个部门打交道,很多时候并不受业务部门的欢迎,认为安全部门给业务部门拖了后腿,出了问题安全部门又成了“背锅侠”。但一个主动出击的 CISO,会和业务部门积极沟通,告诉业务部门安全不是单纯地找问题,而是一起想办法解决安全问题。两者互相结合,事情就变成业务挑头,安全提供支持。如此一来,安全渐渐地就能延伸到更多的领域,不仅让业务部门觉得安全不可或缺,更能充分体现安全的价值,体现 CISO 的价值。

记者:CISO 应该优先考虑哪些工作?
张耀疆:很多优秀的 CISO 告诉我,作为一个管理者,不管是内部调动还是新来乍到,首先要做的工作是“救火”。企业设立 CISO 岗位一般不会空穴来风,基本上都有现实的安全需求,所以要先解决眼前急迫的安全隐患,确保不会发生安全事件。完成应急的短期目标后,CISO 就要开始补短板。CISO必然会对安全业务有一个完整的体系规划,当前的安全体系最薄弱处在哪里,当务之急该做哪些工作,要做到心中有数。当体系搭建得差不多之后,CISO就要逐渐地和业务结合,去给业务赋能,甚至在某些方面做到引领。例如,今年实施的《数据安全法》和《个人信息保护法》,在业务上如何合规,包括数字化转型中的安全工作,CISO 都要考虑在业务部门的前面。这样安全就会有一种引领作用:很多最初看起来做的是安全的事情,到后来就发现是业务的事情,安全和业务越来越密不可分。

记者:对 CISO 文化的建设,您有何建议?
张耀疆:CISO 当前还处于早期阶段,其边界、责任、高度还在持续探讨和实践中,还没有成型的标准和规范。近年来,我一直致力于 CISO 文化的建设和推广,最早通过社群的方式,让甲方的安全从业者彼此交流,沉淀经验,形成最佳实践,再分享给业界。据估算,企业的安全管理者和运营者,也就是实际承担 CISO 工作的人群,国内大致有 10 万到 20 万人,已经是一个规模化的群体。他们需要有相关能力的建设,但社会和高校的培养体系更多的是偏向技术层面,缺乏对 CISO 整体视角的指引。后来,我们把社群中具备 CISO 能力的人群再细分出来,成立了 CISO 俱乐部,进行更高层面的经验分享。
CISO 需要具备综合性的能力,不仅仅是技术,需要更多领域诸如管理、政策法律、供应链管理等多领域的能力。从 2020 年开始,我们开设了超级CISO 研修班,通过突出实效性的课程设计,让 CISO中的佼佼者和安全细分领域的领头羊来授课,将他们这十几年摸爬滚打的经验传承下去。通过面向实战的再教育,让这些新晋 CISO 具备一个真正 CISO的视野和能力。这是我们当前的一些摸索和实践,未来,高校和研究机构可能也会设计出 CISO 的理论培养体系。

(本文刊登于《中国信息安全》杂志2021年第11期)



扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接