什么是CISO?什么是首席信息安全官

首席信息安全官（CISO）是组织内负责制定和维护企业愿景、战略和计划以确保信息资产和技术得到充分保护的高级管理人员。CISO指导员工识别、开发、实施和维护整个企业的流程，以降低信息和信息技术（IT）风险。他们应对事件，建立适当的标准和控制，管理安全技术，并指导政策和程序的制定和实施。CISO通常还负责与信息相关的合规性（例如，监督实施，以实现实体或其一部分的ISO/IEC 27001认证）。CISO还负责保护公司的专有信息和资产，包括客户和消费者的数据。CISO与其他高管合作，确保公司以负责任和道德的方式发展。

通常，CISO的影响波及整个组织。责任可能包括但不限于：

• 计算机应急响应小组/计算机安全事件响应小组
• 网络安全
• 灾难恢复和业务连续性管理
• 身份和访问管理
• 信息隐私
• 信息法规遵从性（例如，美国PCI DSS、FISMA、GLBA、HIPAA；1998年英国数据保护法；加拿大PIPEDA、欧洲GDPR）
• 信息风险管理
• 信息安全与信息保障
• 信息安全运营中心（ISOC）
• 金融和其他系统的信息技术控制
• IT调查、数字取证、eDiscovery

在组织中拥有CISO或同等职能已成为企业、政府和非营利组织的标准做法。到2009年，大约85%的大型组织有一名安全主管，高于2008年的56%和2006年的43%。2018年，CIO、CSO和普华永道联合开展的《2018年全球信息安全状况调查》（GSISS）[1][2]得出结论，85%的企业拥有CISO或同等资质。CISO的作用已扩大到涵盖业务流程、信息安全、客户隐私等方面的风险。因此，现在的趋势是不再在IT组中嵌入CISO功能。2019年，只有24%的CISO向首席信息官（CIO）报告，40%直接向首席执行官（CEO）报告，27%绕过首席执行官向董事会报告。将CISO职能嵌入首席信息官的报告结构下被认为是次优的，因为存在利益冲突的可能性，并且该角色的责任超出了IT团队的责任性质。

在企业中，CISO的趋势是在商业敏锐性和技术知识之间保持强有力的平衡。CISO通常需求量很大，薪酬与其他同样拥有类似公司头衔的C级职位相当。

典型的CISO持有非技术认证（如CISSP和CISM），尽管具有技术背景的CISO将拥有扩展的技术技能。其他典型培训包括管理信息安全计划的项目管理、管理信息安全预算的财务管理（如持有经认证的MBA）以及指导信息安全经理、信息安全总监、安全分析师等不同团队的软技能，安全工程师和技术风险经理。最近，由于CISO涉及隐私问题，对CIPP等认证的要求很高。

这一领域的最新发展是“虚拟”CISO（vCISO，也称为“分数CISO”）的出现。[3] 这些CISO在共享或部分的基础上工作，适用于规模可能不足以支持全职执行CISO的组织，或者出于各种原因，可能希望有一名专门的外部执行官履行此职责的组织。vCISOs通常执行与传统CISO类似的功能，并且在通常使用传统CISO的公司正在寻找替代者时，也可能充当“临时”CISO。[4] vCISOs可以支持组织的关键领域包括：

• 就各种形式的网络风险提供建议并制定解决方案
• 董事会、管理团队和安全团队辅导
• 供应商产品和服务评估与选择
• 成熟度建模运营和工程团队流程、能力和技能
• 董事会和管理团队简报和更新
• 运营和资本预算规划和审查

原文：https://en.wikipedia.org/wiki/Chief_information_security_officer