CSO為Chief Security Officer的簡稱, 即首席安全官,主要負責整個機構的安全運行狀態。
基本介紹
- 中文名:CSO
- 外文名:Chief Security Officer
- 即:首席安全官
- 職責:負責整個機構的安全運行狀態
含義,設立理由,職責,
含義
目前,繼CEO(執行長)、CIO(首席信息官)、CFO(財務長),CSO出現在了一些大公司的高級管理層,有人預測,CSO會像CEO那樣在全球各大公司的高管團隊中出現。
什麼是CSO
在不同的公司,CSO有不同的含義,有的負責保護物理安全,例如:保護公司數據中心各種設備的安全;有些負責數字信息安全,例如:防止公司網路遭到黑客的攻擊。CSO主要負責監控、協調公司內部的安全工作,包括信息技術、人力資源、通信、設備管理以及其他組織,CSO還負責制定公司安全措施和安全標準。此外,CSO還需要經常舉辦或參加相關領域的活動,例如:參與跟業務連續性、預防損失、詐欺預防和保護隱私等議題的相關活動。
設立理由
CSO的出現與信息技術的發展和受重視程度關係密切。以中國為例,從上世紀60年代至今,中國企業的信息化發展經歷了創生、起步、發展等階段,現在進入了一個持續整合和最佳化提升的時代。企業開始關注信息化的可持續發展,其中信息安全和綠色IT等理念已經成為企業關注的重點。信息安全正在成為企業發展的核心競爭力,而目前企業的安全正在受到病毒攻擊、人為泄密等嚴重威脅,設立專門負責安全的CSO能夠為企業的發展提供有力的保障。
首席安全執行官(CSO)負責整個機構的安全運行狀態,既包括物理安全又包括數字信息安全。CSO負責監控、協調公司內部的安全工作,包括信息技術、人力資源、通信、合規性、設備管理以及其他組織,CSO還要負責制訂安全措施和安全標準。CSO需要經常舉辦或參加相關領域的活動,如參與跟業務連續性、損失預防、詐欺預防和保護隱私等相關議題的活動。
首席安全執行官在公司中的扮演的角色不可或缺。
在戰術層面上,技術要素正在被注入到物理安全工具中,並且這些工具不斷被資料庫技術和網路技術所驅動。在戰略層面上,CEO和公司董事會根據一些法規,如薩班斯﹒奧克斯利法案,從企業高度對風險進行控制。在實際操作層面上,CSO統一管理安全問題,可以顯著降低運營成本。
安全策略通常需要根據企業的不同需求而有所改變,儘管不同的企業需要不同的安全策略,不過安全策略通常都必須包括以下職能:
對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、智慧財產權和計算機系統安全;確定保護目標和保護制度與公司的戰略計畫保持一致;制訂及執行區域以及全球的安全政策、安全標準、指導方針和執行程式,以保證持續解決安全問題。信息保護職責包括:網路安全結構、網路訪問和政策監控以及員工培訓等等;像調查安全缺口那樣全面監控事件回響計畫,如有必要必須幫助安全缺口部門完善培訓計畫和法律方面的事宜;像獨立安全審計顧問那樣,與外部安全顧問一起工作;制訂全面的風險管理策略,並確保策略的執行。了解當前以及未來可能存在的風險,並且在必要時根據風險和威脅的變化及時調整策略;全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,在產品出現問題時以便及時發現並解決問題;進一步完善災難恢復/業務連續性策略,通過每一個業務單元的共同努力,確保我們擁有一個整合性良好的計畫和策略。
那如何衡量首席安全官工作的成敗?
·從提高客群意識水平和了解客群想法入手,提高企業在區域及全球的安全狀況視。
·把提供安全作為一種資源和檢查手段,不要因此而影響到企業的正常運轉。
·起動能夠對整體的企業產生巨大影響的關鍵項目。
·通過考慮企業的優先等級、資產和GAP分析,確定企業整體風險和安全計畫的範圍。
·避免安全問題成為阻礙企業內部生產力發展的瓶頸。避免犯以下的錯誤:認為安全問題僅僅是技術問題;試圖將巨觀問題與微觀問題作對比;猜測用戶對安全問題感興趣;猜測用戶對安全問題很是了解的。
職責
CSO和CIO的工作都同信息密切相關,但是2者的最大區別在於,CSO不僅要負責企業的IT套用系統的設計和規劃,更重要的職責在於要負責整個機構的安全運行狀態,即物理安全和數字信息安全。
具體說,CSO的職能通常包括如下幾點:
1. 對安全機構和服務提供商進行監控,由服務提供商負責保護企業資產、智慧財產權和計算機系統安全。
2. 確定保護目標和保護制度與公司戰略計畫相一致。
3. 制定及執行區域以及全球的安全政策、安全標準、指導方針和執行程式,以保證持續解決安全問題。信息保護的職責包括:網路安全結構、網路訪問和政策監控以及員工培訓。
4. 向調查安全缺口那樣全面監控事件影響計畫,如有必要必須幫助安全缺口部門完善培訓計畫和法律方面事宜。
5. 像獨立安全審計顧問那樣,與外部安全顧問一起工作。
6. 制定全面的風險管理策略,並確保策略的執行。了解當前以及未來可能存在的風險,並且必要時根據風險和威脅的變化及時調整策略。
7. 全面監控產品的內部使用,並且確保工程小組與操作小組保持溝通,以便產品出現問題時及時發現並解決問題。
8. 進一步完善災難恢復,業務連續性策略,通過每一個業務單元的共同努力,確保我們擁有一個整合性良好的計畫和策略。
9. 物理安全責任應該包括資產保護、工作場所危險防護、訪問控制系統以及視頻監控措施等。
