常常被问到几个类似的问题“为什么国内很少听到真正CSO、CISO的职位与人员”、“如何做好一个企业的安全负责人”“一个企业安全负责人应该具备什么样的能力要素”等等。

首先CSO、CISO在很多企业里还没有上升到一个正式的职位，现在见的比较多的其实是“公司信息安全第一负责人”，这个理解起来容易，这里谈到的“如何做好首席安全官”也是这个概念，另外就是讨论的范围仅限于甲方公司，也就是“企业安全”领域。首席安全官的十二个基本能力要素。

第六条：业务安全与风控

业务安全目前在互联网公司、金融行业做的比较深入，团队规模、技术能力都具有一定的积累。作弊、薅羊毛、刷单刷卷、黑名单黑设备、封号、外挂等等是这个领域常见的关键词，尤其是属于互联网业务的关键词，但如果我们把视角放得更大一点，行业广度更宽一些，业务安全与风控的内容与关键词会更准确与合理。

业务安全与风控常涉及的领域包括以下几个：

1.业务安全，包括反作弊、防刷单、黑产对抗、账号体系安全、资金交易安全等等，基于业务场景的实时与离线方式下的查杀能力与对抗体系。这个也是狭义上我们常见的业务安全。

2.业务风控，由于业务本身的活动与环境造成的各种风险的应对与管控。包括企业与个人的信用体系的建设与应用;银行业的巴塞尔资本协议(Basel I&II&III)中对资本充足率的要求以及信用风险、市场风险、操作风险的计量与管理;保险业的最低偿付标准(Solvency I&II)等，金融行业的业务本质就是在经营风险，因此业务是围绕着对风险的合理运营并最大化风险收益而进行的，安全风控的主体也是围绕着这些概念在进行的。

3.内部控制，这个概念较早出现在财务领域，由各种财务舞弊丑闻触发下资本监管市场提出了加强内部控制、提高财务报表准确性要求，上市公司纷纷进行内部控制建设，相应的理论与最佳实践框架也在外部审计师、企业内部控制人员以及资本市场监管机构的共同推动与组织下逐步成熟。代表性的如COSO、COSO-ERM、Sarbanes-Oxley法案(尤其302、404、906、409等条款，其中最为著名的404条款，就是我们常见的Sox-404关于内部控制方面的要求)、中国五部委联合发布的企业内部控制基本规范等。随着风险管理方面的深入，内部控制也从最初的财务领域向业务领域扩展，从最新的COSO与ERM中就可以看到整个视角的变化。

第七条：安全运营

前面提到的几个方向比较多的介绍了方法、框架、常用的技术与理论，可以理解为视角集中在建设，当然不管是感知能力、分析能力、防护能力等等能力的获取(不管是自行开发、外部采购、合作分享等)都可以笼统的归结在建设这个维度，也就是各种能力不会是凭空来的，是需要通过必要的途径才能获得，而获得的成本不仅仅是资金、人力，对于企业安全来说，时间成本往往很可能大于其他成本，所以合理途径与方式也是考验CSO的执政理念了。回到运营这个话题，重建设轻运营是很多公司的通病，国内外那些听名字就让人仰止的公司也没好多少，在咨询公司的职业生涯中有幸可以在全球范围内提供服务的同时深入这些公司实实在在的去”望闻问切，治病救人“，情况远比想象更精彩。安全设备、系统、产品的堆砌并不难，难的是运用起来，有人管有人看，能用会用方可发挥价值，安全的价值如何体现?安全运营领域的价值可以做的很实在、很接地气。在合适的地方部署适当的能力，这个看重的是覆盖率、准确率和召回率，处于建设期的更应该侧重这类的指标与能力，那么处于运营期，MTTD(平均检测时间)、MTTR(平均响应时间)就比较重要了，这两个指标反映了感知发现能力与管控处置能力。不同时期指标与侧重点是不一样的，这是个容易走弯路的地方。另外，在运营态下，在线、离线能力的运用、串并联方式的合理布局以及”查““杀”手段的使用也是非常关键的地方。通过在线能力进行防御性处置、通过离线能力进行查缺补漏与验证以及优化在线场景规则要求;通过串行方式的同步干预处置能力、通过并行方式的异步全量验证能力可以满足更加复杂的业务环境要求;通过上帝视角的“查“的能力、通过判官视角的”杀“的能力可以满足即时对抗与体系化通盘布局对抗的选择要求。

第八条：本地政府、监管理解与法律法规合规

信息安全很多时候可以看做是最接近武侠小说中“江湖“的概念，但”江湖“从来不是法外之地，知法、懂法、尊法、用法是最基本的要求。随着国际化的不断深入，中国企业走出去、国外企业走进来都离不开法律法规的遵循与合理运用，更进一步来说一些业界最佳实践、国际标准、行业指南不应该仅仅是简单的符合要求，更能成为企业基本能力的公允说明、重视程度的态度表达和沟通协作的统一”语言界面“。

在国内开展信息安全相关工作，一些基本要求需要得到有效关注与落实，如2017年6月1日实施的《网络安全法》以及配套的系列法规要求;刑法285、286条款以配套司法解释;信息系统等级保护相关的系列;《个人信息安全保护规范》;各行业主管机构的相关要求。全球开展业务中，数据与隐私保护会是面临的主要挑战，如GDPR(欧盟通用数据保护方案)、HIPAA(Health Insurance Portability and Accountability Act)等最为代表。另外，在互联网、金融、能源、资源型等行业，各国对基础设施方面的保护法案与要求也面临规范与日趋严厉。

另外，国际标准组织(ISO)的信息安全相关标准、NIST SP-800最佳实践、行业性实践要求如ISAE3402、云计算相关的安全认证如CSA-Star、支付卡组织的PCI-DSS及ADSS等也是开展业务不可缺少的要求。

从这方面的工作来说，实施难度与复杂度并不仅仅在于技术方案，而在于这是一个与人强相关的内容(虽然信息安全很多工作都是与人强相关的，但合规方面很容易因为沟通不到位、理解不准确等原因小事变大、主动被被动)。主动与监管部门沟通不要试图游离于法规边界，主动参与影响规则制定过程而不是被动等待甚至隐瞒欺诈，更加开放的心态来看待安全合规，更加主动的行为来拥抱变化，安全合规也能变成企业安全能力的倍增器与推动力。

第九条：安全审计

安全审计可以理解为“安全“+”审计“两个关键词，目标是和安全有关的技术、管理、人员以及这些要素所产生的环境与能力，手段是审计，如何做呢?可以分为两个维度：

1.方法，也就是解决如何做，可以结合传统“IT审计“的理念，分为”审计准备“与”审计执行“两个阶段，其中审计准备包括环境理解，也就是审计目的、目标的充分理解以及涉及的环境、技术、系统、流程、业务等内容的调研分析过程;确定审计重点，也就是根据审计目的与风险理解，确定重点内容;编制审计计划，根据时间、资源、重点等要素完成工作计划准备以及必要的工具、模板、技术环境准备。审计执行包括审计计划实施，也就是实际去做审计，包括通知(也可以不通知，如涉密类审计、抽查突击类审计等)审计计划、审计手段运用(一些安全评估常用的手段在这个环节基本都能用到，同时一些审计特有的工具与方法，如抽样数据测试、穿行测试、监督环境下流程重放等)最后得出审计结果;沟通审计结果，由于时间限制、资源限制，审计结果有可能存在疑点，同时除保密需要以外，实施团队应与被审计部门与团队通过会议的方式进行结果确认与去伪存真;持续优化改进，审计的目的不仅是发现问题，更重要的是实现问题的改进，所以一般会进行审计结果跟进、解决方案跟进甚至进行结果复测，以验证审计与后续优化的效果。

2.内容，信息安全有自身的特点与规律，技术、管理、人员、文化等都可能存在风险与威胁点，因此从某种意义上说，目前能见到的安全技术、产品、理念都可以作为审计的内容，同样也可以作为审计的工具，这方面能认知到这个层面的人员在业内着实不多。很多安全创业公司在安全产品、技术的红海中力拼，其实稍微换个角度就是一片蓝海。

在企业内安全审计可以作为三道防线(自行搜索风险管理的三道防线概念，国内提出较早，国外认可度也非常高)的最后一个环节提供保障作用，同时也可以作为兜底的手段确保安全方案的落实，合理运用的话威力无穷。

第十条：危机管理、安全事件调查与取证

企业安全做的再好，建设的再完善，能力再强，团队尽职尽责，也一样没有100%的安全，何况还做不到如此高的要求呢。所以必须为可能的外部攻击、内部泄露、商业间谍、员工无意等等各种情况做好准备，尤其是极端情况下的准备工作，万一出现不至于手忙脚乱或者应对不合理、及时，导致事态扩大。危机管理预案需要提前准备好，信息流转机制、危机管理团队、必要的技术与工具、预案处置流程等等内容需要清晰、快速、准确，同时需要进行演练，使内容深入人心，一旦出现极端情况，各部门的处置可以形成合力。另外需要强调的是，危机管理是为了应对极端情况，而非一般安全事件，因此预案强调的是有限的场景(结合业务场景确定)下的应对能力，危机应对启动也需要严苛的控制。一般性的安全事件可以通过事件调查、应急响应去处理，当然这方面也需要提前准备好，如事件分级、响应流程、恢复过程、调查机制、协调组织、事后复盘机制等等，如果应对不好，安全事件也可能上升为危机，因此不管是实体还是虚拟的安全事件响应与调查组织、足够的事件响应调查技术与数据储备、必要的演练与复盘机制都是基本要求。内部的安全事件调查需要把海量数据进行积累、清洗、关联，最终还原攻击路径与事件发生的时间轴，所以数据是非常重要的基础性工作，数据的完整度、稳定性、质量要求都很高。常常出现的问题是数据貌似都在，但可能由于格式不同、记录字段不同甚至细微的类型差异都可能导致数据无法进行归集、串联，最终变成一个个的数据片段，导致整个证据链的断裂缺失，从而无法勾勒出事件的本来面目，也就谈不上有效的处置与根源问题复盘改进。

提到证据链这个概念，上升到司法调查层面时，内部调查的方法还可以用，但过程控制、规范要求则要严苛很多，对证据链的固定、可信度要求、电子证据的采集均有法庭采信的规则限制，如在调查中我们可以实际去硬盘、存储空间、各种系统上去分析，找出蛛丝马迹，但在需要提供呈堂证供的情况下，任何调查分析动作不能破坏原始状态与属性，这时需要使用专业工具，如Encase、FK等进行只读环境下的操作。国内已经有很多鉴定中心、调查机构可以完成上述工作，配套的技术能力也算是比较健全，如取证工作箱、针对手机、智能设备的取证系统与平台，限于内容的敏感性就不展开介绍了，总之司法调查取证需要严苛的证据链、取证环境、方法动作等，方可作为证据去接受质疑、去伪存真。

第十一条：组织架构、安全意识与内部安全品牌建设

前面大部分内容讨论的是各项管理、技术能力的建设，能不能落地，很大程度上依赖与团队与人，合理的组织架构可以最大化的发挥人的价值，反过来有可能极大的削弱与限制，这个道理大部分领导者都懂，但是不是能实际做到就是另外一回事了，环境限制、时机甚至个人决断力都是容易打折的因素。

组织架构的设置可以从几个方面考虑：

1.战场布局方式，“战区主战、军种主建、军委管总“。战区主战，安全团队与能力应该融入业务与技术环境的一线，不应该是自娱自乐的闭门造车，安全能力能不能前出到这里，考验的是团队中综合能力人员的配比，能谈技术、能懂业务、能搞安全，这类人可以部署在战区，也就是业务与技术实际环境中，融入业务与技术战场，快速联动，贴身肉搏。能把业务线、技术线的发展规划、诉求、对接能力要求等战场态势实时回传到后续支持防线，同时把安全能力、管控要求投放到业务实际中。军种主建，各安全业务方向，如信息安全、数据安全、业务安全等等，应做好各自的工具、系统、平台，构建各种方法、框架、体系，全面提升所属方向的作战实力，为前线提供弹药、装备、情报，同时协调资源，完成战役级的指挥、综合保障以及跨兵种协同等，提供大中后台的整合作战能力。军委管总，战略规划能力、资源投放协调能力、风险优化能力等等考验格局与”大国“战略视角，一个公司的信息安全能不能发挥出价值，能不能体现出来业务的安全感，往往需要从全局观上发挥作用，”不怒而威、刚柔并济“。

2.能力布局方式，不是所有公司都需要庞大、分工明确的安全组织，根据公司的实际情况，选择合适的技术栈能力进行布局也是一种合理方式。从简单到复杂的层次关系可以大致这样罗列，基础防护能力、检测发现能力、对比分析能力、SLA支持的自动化能力、产品化输出能力。团队小、投入不大，工作重点优先考虑在实现基础的防护，如防火墙部署、IDS/IPS、网络准入、终端安全等，可以抵御一般的内外部攻击。规模大一些、资金也充裕一点可以考虑侧重在检测能力建设与使用，日志收集分析、不同量级的SOC与SIEM等可以把原有的防护能力进行整合，一般的病毒、偶然的攻击行为可以有效发现与应对。规模再大一些，重视程度更高一些，单一环节与产品技术的支持就显得不够了，每个产品、技术都有自己的优劣势和擅长领域，总有可以绕过的方式与漏网的行为，通过提高单一产品技术的准确率、召回率ROI逐步降低，那么可以考虑进行比对能力的建设，可以是不同类型产品的比对，可以是在线、离线方式的比对，也可以是部署方式如终端侧、网络侧的比对，总之战略性纵深开始形成(对应于如果把多个产品技术不同区域布防称为战术纵深的话)。SLA支持的自动化能力，是在满足业务、安全的功能性与时效性要求的前提下，通过系统、平台自动化完成联动，如攻击、漏洞自动化触发规则，基于用户行为的账号权限自动化处理机制等。产品化输出能力，不是说大公司一定要把安全团队做成盈利中心，虽然很多公司有这个想法也实际是在这么做，而更多强调在实现稳定预期的情况下快速投放能力。有两个关键词，“稳定预期“就是大家潜移默化的达成一致的对安全的要求与实现程度;”快速投放“就是实现时间成本效益最大化，“天下武功唯快不破”，不敢提安全引领业务，也至少不能拖业务后腿，不然就只能被各种“吊打”。当安全团队完美的打造了“大杀器”以后，回头发现业务已经尸横遍野，那么安全团队最好的方式就是拿自己祭“大杀器”吧。

安全意识就不多说了，人是最薄弱的一环，喊了好多年了，这个确实需要实实在在抓起来，再好的技术能不能发挥作用靠的是人，在理想的设计遇到人这个环节都可能被各种绕过，“不怕神一样的对手就怕猪一样的队友”，人肉渗透远比APT快得多，道理都懂，看行动效果吧。

安全不能闭门造车，公司内部能不能信任、业务能不能与安全协调配合，大家愿不愿意为安全成本(不只是直接成本，也包括因为安全而放弃的一些便利性等间接成本)埋单，取决于能不能建立“安全感”以及对安全价值的正确认知下的品牌效应。当业务要冲锋陷阵的时候，安全是在旁边拍拍业务兄弟的肩膀，告诉他“一切别怕，我和你一起”，还是用“千里传音”之术躲得远远的说“我们有最先进的技术、最好的产品，你放心去吧”，当然有时连传音这个事情都省了，安全何在、价值何在?品牌树立很难，信任崩塌很快，且行且珍惜。

第十二条：资源管理与使用效率控制

最后一章了，要写的东西还有很多，这里先谈谈资源管理和使用效率吧，稍微有些管理经验的都知道，团队应该有层级，为什么呢，不只是说团队发展的梯队需要，也有资源限制的实际需要。比如50人的团队，全部招高阶的，看似很厉害但这个不现实，可能没这么高阶可以招，资金预算也不允许，因此CSO们要合理规划团队层级，可以基于工作技能集的分布，也可以基于考虑资金限制后的职级测算等很多方法，所以推荐CSO们稍微懂一些财务知识，能看得懂基本的财务报表与预算规划，无限资源那是在游戏人生中开挂以后。集中优势兵力、快速见效，做事有轻重缓急算是最基本的要求。同时多个项目的并发是不可避免的，控制质量与数量，做好资源池管理，PMO的多项目管理还是值得参考与借鉴的。还是50人的团队，同时做60个项目与产品，后果是什么自己脑补吧。如果换作是你，怎么带领这50人的团队，如何合理规划资源，如何分轻重缓急，如何做到风险可控没有明显短板?一个是好钢使在刀刃上，另一个就是“让子弹飞一会儿”别急急火火的有点风吹草动就乱，团队不能变成救火队这是Leader的责任与担当。

也许有人看到以上这十二个能力要素会觉得“有这样的人吗?”答案肯定是有，只是每个人有一些侧重，不太可能各个领域都是满分。另外，这类“全才式”(全栈式都不足以形容了)的人员，往往都不是或至少现在已经不是技术研究领域的顶级大牛，也不太可能是攻防领域或者白帽子名人，所以在目前信息安全的大环境下，很少有人能够进入媒体的聚光灯与收获粉丝的追捧，但这类人确实存在。

*本文作者good1205，转载来自于FreeBuf.COM