常常被问到几个类似的问题“为什么国内很少听到真正CSO、CISO的职位与人员”、“如何做好一个企业的安全负责人”“一个企业安全负责人应该具备什么样的能力要素”等等。

首先CSO、CISO在很多企业里还没有上升到一个正式的职位，现在见的比较多的其实是“公司信息安全第一负责人”，这个理解起来容易，这里谈到的“如何做好首席安全官”也是这个概念，另外就是讨论的范围仅限于甲方公司，也就是“企业安全”领域。首席安全官的十二个基本能力要素。

第一条：业务理解与赋能

业务、作为高级别安全人员，应该对自己企业、所处行业的业务有足够的认识与理解，业务模式是什么?靠什么赚钱?钱是怎么花出去的?业务的架构是什么样子?核心的业务能力是什么?支持这些业务开展的业务核心流程是哪些?支持性的业务流程与职能有哪些?业务职责分工?关键业务人员、团队?支撑核心业务的系统有哪些?技术团队关键人员?等等问题，这些获取信息、了解清楚并不难，即使在大型互联网公司、大型集团，以核心业务为切入点，也是完全可以上手的，时间也在可接受的范围。有了这些信息的积累，信息安全工作可以做的更实在更贴合业务，信息安全的价值更容易体现。当业务对信息安全团队有了信心与信任，那么一起并肩作战、赋能的日子也就不远了。相反，安全人员把自己关在办公室，闷头想方案，业务有哪些部门、那些团队、在做什么事情都说不清，指望他们去为业务护航保驾，你信吗?

第二条：安全治理与战略规划

说到安全治理，除了一般提到的组织保障、资源投入等方面以外，更多在以下五个方面考虑：

1.战略一致性，信息安全的战略与重点应该与业务的战略、布局、拓展等能力需求保持一直，这个听起来简单，做起来并不容易，尤其在快速发展与变革的组织中，很考验安全Leader的业务理解、大型团队管理能力、资源投放能力。如果做不到，后果常见为安全团队变成救火队员、业务“裸奔“、领导们逐步对安全丧失信心等。

2.价值实现，信息安全是有价值的!这个做不做安全的人都不会反对，但如何体现出现来呢?也就是如何实现呢?企业信息安全绝不应该仅仅是安全产品与安全技术，酒香也怕巷子深，不能让业务认可并最终产生应用效果的安全技术都是信息安全部门在“耍流氓“式的自娱自乐。不管是前瞻性的研究还是实用性的落地技术与产品，信息安全部门的成本投入如何转化成生产力、产品技术壁垒、商业竞争优势、业务保障能力都是考验CSO们的能力。

3.风险优化，“影响目标实现的不确定性因素“(定义来自，尼古拉斯·西蒙·吴，极简化理解仅供参考)。在那些可能影响现在、未来业务生存与发展的地方，在可能导致公司归零的领域，优化风险管理能力、优化信息安全战场态势、变被动为主动能力，是信息安全风险的关键优化要求。以业务与风险为导向，以威胁为驱动手段，从管理、技术、人的纵深;从业务自身能力、安全风险管控能力、安全监督审计能力的纵深;从业务外延领域、虚拟边界领域、核心能力领域的纵深，进行全面安全风险整合优化，提升感知、管控、处置、迭代能力。

4.资源投放效率，安全治理中需要解决安全资源投放效率的问题，安全人员总数有限，招聘难度大，内部团队规模有限，资金支持也是在一定的预算范围内，能不能把资源合理使用，最大化发挥价值，不管是用ROI(投资回报)测算还是ALE(年预期损失)与管控成本差等方法，需要管理技巧对资源进行合理投放，但这方面安全团队的管理成熟度与对安全全面理解与把控能力上面临很大的挑战。

5.度量评价，安全的效果衡量，资源使用的度量评价，是安全治理中结果呈现环节的核心，无法衡量的价值可以作为一句漂亮的PR语句，但如果试图用这个说法找高层要资源、谈业绩，那么结果可能不一定漂亮。安全的指标体系、评价方法可以参考的内容不多，但金融行业风险管理与指标度量方法、ISO2700中的信息安全测量方法可以借鉴，但实践中能够落到实处的基本还是根据企业实际业务情况结合安全体系所构建的针对性测评指标更容易发挥作用，如建设类的具体能力点的覆盖率、准确率、召回率、稳定性等，运营类的平均事件响应时间、平均漏洞修复时间等。

这五个方面是安全治理中比较关键的问题，也是考验管理能力、全局视野能力与掌控能力的关键成功要素，另外提到的安全战略规划，建议有需求的人员看看EA(企业架构)方法，前提是你需要有很强的安全能力背景。

第三条：安全风险管理

以风险为导向的信息安全，很多人听说过概念，但实际系统化做过的其实业内并不多。传统的安全风险评估，从资产、威胁、脆弱性入手，以ISO13335为主要参考方法，大部分乙方安全公司都是这个套路，好处是方法论成熟、参考依据充分、通用性强，但也有一些明显的短板，如资产是以传统资产为主，如服务器、设备、信息系统，以资产清单为出发点，在大型企业、快速发展的企业、重数据资产的情况下，会出现方法过重、收益不明确、变更困难、重点不突出等问题，导致风险评估结果与实际情况有较大出入，另外就是与业务场景的契合度较低，好像风险评估团队在自说自话。

传统的企业风险管理方法中，是以业务为核心视角，通过企业核心业务价值链 –> 业务流程 –> 业务风险 –> 风险管控措施 –> 风险评价审计等环节，把企业风险管理进行逐步落地，同时通过风险治理、风险容忍度偏好等，约束与修正风险管控行为与资源投入。参考的方法包括企业全面风险管理、COSO-ERM、ISO31000等国内外最佳时间要求。这些方法的好处是方法通用，尤其是上市公司资本市场合规要求、企业治理要求等方面得到很好遵从，风险体系框架全面，分解层级环环相扣，短板是在引入安全风险管理的要求后，体系化结构中缺少安全视角的分析过程、对应的解决方案落地能力以及对安全技术、安全管理等主流安全管控要求的对接，能不能实现预定的效果预期，完全看实施团队中是否具备全面风险管理与扎实安全能力的人员了。

于是安全风险管理的方法，可以在两种流派中取长补短，在业务风险之后不急于对接管控措施，而是将业务风险中信息安全相关场景识别出来，分解技术方案与管理措施落地。

企业核心业务价值链 =》业务流程 =》业务风险=》安全风险 =》安全管控 =》安全方案 =》企业安全落地实践。

业务风险与安全风险之间通过安全威胁、技术架构、安全场景进行衔接，确保安全与业务的契合，同时基于目前安全技术实现能力，持续自适应风险与信任评估(CARTA)是完全有可能落地的。本着安全风险以终为始(Begin with the end in mind)的目标，总结了五大常见安全风险目标分类，仅供参考：

核心资产

持续业务能力

资金相关

合规、归零

声誉、商誉、品牌

第四条：安全技术与架构

安全技术不是漏洞，安全体系不是27001，安全架构不是集群部署，很简单的概念与区别，但安全人员往往自己都混为一谈。安全技术与架构是企业安全的基础工作，技术方案的执行其实是安全管理理念的延伸与落地，能用技术解决的问题就不要完全靠人和制度要求来控制，道理很简单不浪费文字了。安全技术与架构强调了企业安全的纵深防护能力，以缩短自由攻击时间窗口为目标的分析感知能力，以降低平均检测时间与平均响应时间为目标的安全技术运营能力。纵深防护的概念已经有十几年的历史了，但放到现在企业安全领域仍然不过时，从业务外延环境、逻辑边界与安全域到核心组件区域的层层感知、管控能力，动态防御与检测机制、离线分析能力等的建设与运营，构建了事前、事中、事后的技术机制纵深，从而为攻防对抗提供了更加丰富的手段与场景。说到企业安全的技术架构，可以从水平与垂直两个角度看，水平方向简单罗列一下可以分为产品区域、生产区域、内网区域、合作区域四个方面，其中：

1.产品区域是指公司的产品投放出去后的不可控环境，如App、IoT产品等，这个区域的特点是攻击方可以在不受防守方干扰的情况下进行各种尝试，如破解、调试、逆向、拆解、改装等。防守方可以采取产品侧加固、破解调试对抗、代码混淆、心跳存活打点、数字签名等多种方式，这个区域可以放任也可以强对抗，取决于公司的资源与防御边界选择。

2.生产区域是指公司核心的生产网络、设备、系统、数据的部署区域，边界安全、流量分析、WAF、主机防护、网络安全、区域隔离、横向导控、日志分析、应用系统安全、漏洞管理、堡垒机、权限控制等是这个区域的一些关键技术与产品。

3.内网区域是指公司办公与职场环境下的安全场景，包括办公网络安全、边界防御、流量分析控制、办公服务主机安全、应用安全(如OA、ERP、财务等内部管理系统)、WAF、安全域、终端管理、DLP、BYOD、IAM、VPN等是这一区域的常见技术与产品，同时物理安全的智能摄像头、门禁、监控闭路、红外探测、强弱电控制等也是这个区域所关注的。由于内网区域的环境复杂，涉及范围广，管理起来既有可能比生产区域更复杂与多样。目前来看，对内网区域的渗透、APT(高级持续性威胁)从技术上来说入门门槛较低，成功几率更高，从商业价值来说可能更大。对于商业间谍类的技术渗透也往往集中在这个区域。当然，现在也有一些公司宣称“无内网”，这个是建立在完善的感知能力、监控能力、管控体系支撑的基础之上，以国内大部分公司的情况，短期内还很难突破。

4.统一服务型网关，也许更加适用。

5.合作区域是指与公司有关系、有连接、有交互界面的一类区域的统称，包括如外包集中办公区、合作伙伴系统连接区域、供应商系统连接区域、业务上下游组织的连接区域等，总之不在公司的强管控范围内但又有系统、数据、设备等组件部署、对接的区域。这类区域的安全，不仅要考虑公司自身的安全能力与防护实现，还需要关注业务延伸后合作方的能力与防护边界拓展问题，除了生产、内网中提到的安全技术与产品以外，常常通过设置安全缓冲区、虚拟边界、外部持续监控平台等技术产品，对合作区域中延伸、衔接部分进行防护，并通过持续的运营能力提供及时、有效的检测与响应处置。

6.垂直方向的技术架构可以参考技术栈的方式，分为物理层、网络层、主机层、数据层、应用层、管理层的防护，不同层级分别部署对应能力，多层级间信息联动与协防。

第五条：安全管理

曾经江湖传闻安全有各种流派，其中有一门为管理标准派，独门秘笈为“BS7799、ISO17799、ISO27001“(特别备注：谈管理就把这几个数字挂在嘴边的同学，有一部分可能对BS和ISO的概念还搞不清楚呢)。甲方安全管理、咨询公司、乙方安全服务团队中常有身影出现，由于这个方向业界根深蒂固的印象，以为安全管理就是一些”体系“”标准“的拼接甚至囫囵吞枣式的生搬硬套(事实上很多人也确实是这么做的，所以如此印象也不能怪别人)。

安全管理是企业安全中非常重要的组成部分，为信息安全工作提供管理抓手、制度依据、和流程保障。法制社会常常提到“有法可依、有法必依、执法必严、违法必究”，安全管理就是实现公司内“法制环境”一个最为重要的能力，能做什么、不能做什么、怎么做、如果违反有什么后果、权责分配、文化环境的基调等等都是通过各种制度、规范、流程、文件加以约定，安全技术的运用在某种意义上也是管理理念的延伸与具体化实现。拉回到具体工作，安全管理不简单等同于体系标准，根据公司的情况与管理风格，一个公司安全管理规范可能能够覆盖大部分常见的场景，这样就没有必要马上弄一个文档制度体系。即使是需要构建管理体系，在各个方向上的发力点也是不同的，可以从几个最急迫、最痛的管理诉求开始，如公司账号、权限管理要求、数据保密制度等等，在业务运作与安全管控之间构建一个合适的平衡体系，这个非常考验安全负责人的管理智慧。“兵无常态，水无常势”，无相无形但并不代表可以“乱“，安全管理做成常态救火就是管理的悲哀了。安全管理是一种艺术与技术的结合，作为CSO在安全管理这个领域，比较高的境界格局需要做到心有体系、落地无痕。

*本文作者good1205，转载来自于FreeBuf.COM