您现在的位置: 
CSO问题
作者:软件工程师 人气:
【字体:大 中 小】
发布时间:2004-12-28 01:52:37
CSO问题
CSO只是一个保驾护航的人,他不是企业信息和网络安全的救世主休 闲居 编 辑
文王虎(北京)
当CEO、COO、CFO、CIO等一系列“CXO”已经变得耳熟能详的时候,从2003年开始,“CXO”家族的又一个新成员——CSO,也渐渐进入了人们的视界。
CSO(Chief Security Officer)即首席安全官,顾名思义,其主要职责是处理组织内部与信息安全相关的事务,避免信息安全事故的出现;并在应急事件中负责协调资源,将组织受到的损失降到最低点。
一般认为,在美国遭受“9·11”袭击之后,各国重新开始了对企业和组织的安全(包括信息安全)的审视,CSO也由此逐渐走向前台。据笔者了解,在美国在线时代华纳、Microsoft、Sun等公司的高层管理部门中,都明确设置了CSO的职位。而著名的猎头公司——克里斯蒂安·延伯斯公司(Christian and Timbers)此前从未挖过CSO,今年却一下子做了五、六宗和CSO有关的猎头生意。最近,国内关于“CSO是否应该存在”、“CSO应该如何定位”等问题的讨论有明显增多的趋势,很多业界人士都发表了各自的看法。在此,笔者也想斗胆妄言几句。
一种事物的产生、发展和消亡,都要依赖于其所处的现实环境。在网络刚刚产生的上个世纪七、八十年代,人们仅仅有一些简单的需求,同时网络上可以被利用的信息的价值,也根本无法同今天相比,那时候人们对网络安全产品基本没有需求;而今天,我们所经历的每一笔生意都与网络有着密不可分的联系,因此网络安全行业在这种背景下便应运而生,并得以迅速发展,同时还催生了防火墙、IDS、防病毒等大量信息安全产品的出现。所以,如果讨论CSO的问题,我们也不能脱离这一原理和背景。
“9·11”之后,企业对于“安全”的理解大致可以分为两部分:一部分是保护组织实物安全,包括职员的人身安全和公司财产、名誉安全等;另外一部分,就是负责防止公司网络遭受黑客攻击,避免网络空间的“恐怖事件”。今天我们谈到的CSO可能更加侧重于后者:针对财产等物理意义上的“安全”,一般公司都会交给社会(警察)和本公司的安保部门来实施。
就中国企业而言,笔者认为尚不具备建设CSO体系的条件。因为中国企业的现实情况是:企业内部人才紧缺,每一个人都身兼数“职”,在已经具备CSO“雏形”的企业中,CSO往往要负责选型、招标、采购等众多环节,这样的人不可能有专门的时间和精力来投入企业的安全策略研究和优化、安全应急事件的预警和响应;相应的,目前国内企业从事上述事务的角色往往是CSO的下属,这又产生了一个问题——下属由于级别不够,而不足以协调组织内部的所有机构和部门,因此也就不可能履行真正的CSO的职责。
今年7月初,计世资讯对制造、金融、电信、政府等五个重点行业企业进行了一次信息安全意识的调查,结果显示:中国50.9%的行业用户建立了专门的信息安全管理机构;71.8%的行业用户对信息安全规定了专门的管理人员,并明确了相应的责任;还有26.8%的用户或者规定了人员但没有明确责任,或者明确了信息安全责任但未明确人员;只有1.3%的用户完全没有明确人员和责任。由此可见,在中国的重点行业和关键部门,信息安全的意识已经非常强烈,并已经普遍意识到必须设立专门机构、由专门人员负责,才能保障公司的信息安全。这些都是中国CSO们成长壮大的外部环境。
此外,报告还显示:68.4%的用户建立了专门的信息安全保障制度;20.5%的用户将信息安全制度包含于其它制度之中;只有11.1%的用户完全没有建立信息安全制度;而74.4%的用户则建立了针对信息安全的应急机制。可见,中国的准CSO们对信息安全的管理正趋向于规范,而其所管理的职责范围也正变得越来越广。
国外的一些数据表明,事实上,CSO若想成为继CIO之后又一个新的权力阶层,还有很长的路要走:克里斯蒂安·延伯斯公司调查了《财富》前1000强企业的390名执行总裁,其中表示“对CSO感兴趣”的人高达95%,但只有25%的人表示“准备聘用CSO”,而已经着手招聘的比例则少得可怜——只有8%。很多公司表示:他们还不清楚是否需要CSO,更不知道CSO的工作范围。而另外一些问题更让他们感到茫然:物理安全和信息安全是否应由同一人负责?CSO是否可以为了保证安全而不惜代价?CSO在公司管理层究竟居于何种地位……另据著名市场研究机构META Group的一项调查显示,虽然30%的公司设置了类似CSO的职位,但只有5%的公司分别设置了负责公司物理安全和信息安全的职位。事实上,如果将这两个职位合而为一,必将失去实际意义——如果一个安保部门的负责人同时肩负双重角色,而事实上他对于信息安全技术和网络安全知识一窍不通,那么很难想象他能在保障公司免受网络攻击方面有所作为。在这一方面,比尔·盖茨给我们做了一个很好的榜样:Microsoft公司现任CSO斯科特·查尼只负责测试微软全线产品的安全性能,然后将之告知客户,并及时推出产品的安全公告和补丁。而公司的物理安全则全部交由安保部门负责。
笔者曾参加今年8月14日由《计算机世界》倡导的“中国CSO俱乐部”成立大会,会议的宗旨是“为中国的CSO建立一个相互共享成功管理经验、进行技术交流的平台”。让笔者惊讶的是,国务院信息办网络与信息安全组负责人王渝次司长也出席了本次会议。王司长应该是我国官方任命的,国家信息安全管理部门中最高职位的领导。会上,王司长对国内信息和网络安全问题给予了高度的关注,也希望我国能够重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家信息安全。所有这些似乎都是CSO们工作努力的方向,而王司长的到会也意味着一种动向和信号:中国的CSO已经开始酝酿并有可能得到国家的扶持,而CSO的产生也将指日可待。剩下的,也许就仅仅是一个时间的问题了。
那么,中国CSO最大的问题是什么?笔者认为,“用有限的权力承担无限的责任”乃是CSO面临的最大问题。
在中国企业的现实环境中,CSO基本上都是处级干部(一般是安全处或者网络处,也有科技处或者信息中心等),这些处长主要的精力在于产品选型、处理日常的安全事件等方面,从事的是很细致、很琐碎的事务,因此很少能从全局、战略的角度阐述企业安全规划。这与其级别有关:一个处长没有权利做宏观规划,最多只能提出一些建议;而组织内部的一些制度和规定,必须获得高层强有力的支持,并由高层领导来制定才能得以施行。
无论国外的专职CSO,还是国内一些企业的“准CSO”,他们在企业中大多向CEO或者CIO负责。而很多时候,因为他们技术背景的出身,对于企业内部所有业务系统和流程、人际关系和规范并不是完全了解,因此也导致了工作上的力不从心。CSO无疑肩负着沉重的责任。因为网络信息系统不出事则已,一旦出事就必定是大事——有可能中断单位的关键业务,造成巨大的经济损失;也可能使单位蒙受巨大的名誉损失。CSO能否承担如此重大的责任?中国CSO的职位和权力特征的局限性,将是阻碍其成长的致命因素。笔者曾经与几位企业的准CSO以及业界人士聊天,大家半开玩笑地谈到,负责安全的人员是不会成为单位的“先进工作者”的——因为他们要经常地投入、花钱,但却看不到明显的效果,而一旦出事又要第一个承担责任……这是企业各界人士都需要考虑的一个问题。
我们必须明确一个观点:CSO只是一个保驾护航的人,他不是企业信息和网络安全的救世主。这也许能对解决上述问题提供一种思路。很多人认为,设置了CSO职位,企业就不应该再出现网络安全事件。这是很不正确、甚至形而上学的想法——网络和信息安全历来都是“三分技术,七分管理”,是绝对“买”不回来的,只能通过管理“管”出来。再出色的人来担任CSO,也不能保证组织的网络和信息安全不出现任何问题和故障。
我们看到,对于推动信息化系统健康发展的信息安全产业和信息安全主管CSO,正在从概念的陌生、模糊以及产业的跳动,开始转向熟悉、冷静和有序发展的关键时刻;我们又清醒地认识到,作为新生事物,CSO丰富的内涵还需要更深入的讨论,企业CSO要完全实现预想中的责、权、利,还将经过一个漫长的过程;但是,我们也坚信,随着CSO阶层在中国的不断发展壮大,随着信息安全产业的高度发展,CSO的责、权、利将日趋合理化,CSO也将逐渐地昂起头,一步一个脚印地走下去。