首席信息安全官(CISO)是负责组织信息和数据安全的执行官。在过去，这个角色的定义非常狭窄，但现在这个头衔经常与CSO和VP of security交替使用，为表明其在组织中的角色更加广泛。

并非每家公司都有最高级别的安全主管：根据美国国际数据集团(IDG)的“2020年安全优先级研究”(2020 security Priorities Study)， 61%的受访公司拥有CISO，而大型企业的这一比例高达80%。在雇用了此类高管的公司里，他们扮演着重要的角色：同一项研究发现，与那些拥有此类高管的公司相比，没有CISO或CSO的公司更有可能认为他们的员工安全培训不够充分，且他们的安全战略不够积极主动。

雄心勃勃的安全专家们都想要向上攀登，达到CISO的位置。让我们来看看，为了获得这份工作，你可以做些什么，以及如果得到了这份重要的工作，你需要承担哪些责任。如果您想在公司的名册上增加一位CISO，也可以继续往下读。

CISO是做什么的？也许理解CISO工作的最好方法是了解它的日常职责。尽管没有两份工作是完全相同的，但上世纪90年代在花旗集团(Citigroup)担任CISO的Stephen Katz在接受MSNBC采访时，概述了CISO的职责范围。他把这些责任分成以下几类：

另一个重要的注意事项：这些要点中的大部分都适用于IT安全。但对许多高级安全管理人员来说，他们的职责不仅限于服务器和PC，还包括物理安全，确保公司办公室和物理工厂不受入侵。根据国际数据集团(IDG)的《2020年安全优先事项研究》(2020 Security Priorities Study)， 42%的顶级安全高管表示，他们在过去三年里增加了物理安全职责，另外有18%的人预计将在未来12个月内担任这一角色。

这个角色需要考虑什么？一般来说，CISO需要有扎实的技术基础。一般来说，应聘者需要拥有计算机科学或相关领域的学士学位，并有7-12年的工作经验(包括至少5年的管理工作经验)；以安全为重点的技术硕士学位也越来越流行。除此之外，你还应该了解一些以安全为中心的技术，比如DNS、路由、身份验证、VPN、代理服务和DDOS缓解技术；编码实践、道德黑客和威胁建模；以及防火墙和入侵检测/防御协议。由于CISO有望帮助您遵守法规，您还应该了解影响您的行业的许多法规，包括PCI DSS、HIPAA、GLBA和SOX。

但是技术知识并不是获得这份工作的唯一要求，甚至可能不是最重要的。毕竟，CISO的大部分工作都涉及管理和倡导公司领导层内部的安全。IT研究员Larry Ponemon在接受SecureWorld采访时表示：“最杰出的CIO都有良好的技术基础，但通常都有商业背景、MBA学位，以及与其他C级高管和董事会沟通所需的技能。”

职介机构仲量联行(LaSalle Network)技术服务高级部门经理Paul Wallenberg表示，根据招聘公司的不同，判断CISO候选人的技术和非技术技能组合可能有所不同。他表示：“一般来说，拥有全球或国际业务的公司会寻找具有全面、功能性安全背景的候选人，他们会在了解职业发展和历史成就的同时，评估领导技能。”“另一方面，那些业务更侧重于网络和产品的公司则依赖于雇佣应用和网络安全方面的特定技能。”

当你在晋升的阶梯上期待着晋升到CISO的时候，用各种证书来擦亮你的简历并没有什么坏处。正如信息安全公司所言，“这些资格证书能唤起人们的记忆，激发新的思维，提高可信度，是任何健全的内部培训课程中不可或缺的一部分。”我们问了Lasalle Network的Wallenberg，他给了我们排名前三的证书：

“ 认证信息系统安全专业人员(CISSP) 是为寻求将安全作为职业重点的IT专业人士而设立的。”

“ 注册信息安全经理 (CISM) 对于那些希望在安全领域得到晋升并过渡到领导或项目管理的人很受欢迎。”

“ 认证道德黑客 (CEH) 是为安全专业人士提供的，他们希望获得对可能威胁企业安全的问题的高级认识。”

CISO 、 CSO 及其他：名字中包含什么 ? 谁级别更高 ?

让我们来谈谈工作头衔。尽管我在本文中一直使用CISO，但正如我在上面提到的，还有其他用于高管级安全官的头衔：CSO相当常见，还有一些其他的安全官有一个VP的头衔。IDG的2020年安全优先级研究发现，41%的受访者认为CISO是最常见的头衔，但在拥有CSO的公司工作的受访者只有14%，其他头衔的受访者占16%。有趣的是，大企业更有可能称他们的首席安全执行官为CISO：80%的受访者使用这个头衔。如前所述，我们一直在或多或少地交替使用这些职位头衔；在许多情况下，它们反映了特定组织中的层次结构或角色，在一家公司担任CISO职位的人可能与在另一家公司担任CSO的人的职责非常相似。

比头衔中的字母更重要的是组织结构图。安全是一个组织内部不可避免地会与他人发生冲突的角色，因为安全专家的本能是锁定系统，让它们更难访问——这可能会与IT部门以无摩擦的方式提供信息和应用程序的工作相冲突。这可以作为CISO / CSO与CIO的斗争在组织结构图的顶部发挥作用，而这场斗争的结局通常取决于组织内部的报告方式：如果最高安全主管向IT部门领导报告，其可能会限制CISO的战略执行能力，因为他们的愿景最终要服从于IT的更大战略。

不同的报告结构有多普遍?根据IDG的2020年安全优先级研究，在被调查的公司中，46%的高级安全高管向首席执行官或董事会报告，33%向公司或部门首席信息官报告。不出所料，较小的公司拥有更平坦的结构：在接受调查的中小企业中，59%的安全高管直接向首席执行官报告。

将首席信息官(CIO)和首席信息官(CCIO)置于平等的地位有助于平息冲突，尤其是因为它向整个组织发出了一个信号，即安全是重要的。但这也意味着，CISO不能简单地充当否决技术倡议的看门人。杜卡迪CIO Piergiorgio Grossi在接受《i-CIO》杂志采访时表示：“CIO需要帮助it团队提供更强大的产品和服务，而不是简单地说‘不’。’”这种对战略行动的共同责任改变了两国关系的动态，也可能意味着新ciso的成败。

如果你正在为你的组织寻找一名有前途的CISO，其中就包括写一份工作描述——到目前为止，我们讨论的大部分内容都是为如何实现这一目标奠定基础。Lasalle Network的Wallenberg表示:“公司首先决定是否聘请CISO，并获得该职位级别、报告结构和头衔的批准。在规模较小的公司，CISO可以是副总裁或安全主管。”“他们还需要设定职位的最低要求和资格，然后去外部市场招聘候选人，或者内部提拔候选人。”

《CSO》高级编辑Michael Nadeau详细介绍了CISO职位描述的写作方法。他指出有一点很重要，你的描述应该从一开始就明确你的组织对安全的承诺，因为这是你吸引高质量候选人的方式。你应该突出新首席信息官在组织结构图中的位置，以及他们需要与董事会进行多少互动，才能真正明确这一点。他提出的另一个重要观点是保持职位描述的新鲜感，即使你已经有人在这个职位上了——毕竟，你永远不知道那个人什么时候会跳槽，而这是一份至关重要的工作，你不想空着位置就离开。

CISO是一个高水平的工作，CISO的薪酬也相应必须提高。当然，预测薪水更多的是一门艺术，而不是一门科学，但强烈的共识是，年薪超过10万美元是很常见的。截至撰写本文时，Zip Recruiter的全国平均价格为159,877美元；Salary.com给出的标准区间甚至更高，在19.5万美元至25.7万美元之间。

如果你去Glassdoor看看，你可以看到目前CISO职位空缺的薪资范围，这可以帮助你了解哪些行业的薪资水平较高或较低。举例来说，在本文撰写之时，GE Power有一个公开的CISO职位，薪酬在15.2万美元至16.4万美元之间，密歇根大学(University of Michigan)也有一个职位，薪酬在25.9万美元至27.9万美元之间。

推荐阅读

译文 | 如何重新启动已损坏或过时的安全策略