CIO调查 | 2018年企业信息安全状况概观

　　每年，首席信息官(CIO)官网都会发起名为“State of the CIO”的CIO现状调查，今年的调查报告已经出炉，这些调查数据将帮助你窥悉CIO角色在今天商业环境中的演变趋势，有助于你了解2018下半年的企业信息化发展态势并确定自身企业相关议程。

　　此次的CIO现状调查涉及范围广泛，内容多样，但今天我们要重点来关注的是2018年到现在为止的一些企业IT安全状况，由于安全导致的违规成本不断升高，而且信息安全已逐渐成为各大公司企业战略中的关键部份，是企业关乎全局发展中不可忽视的问题。那么在企业信息化发展中，到底谁来负责信息安全?负责信息安全的人主要向谁汇报对谁负责?还有一个实质的问题是，信息安全负责人手中多少预算才合理?针对这些安全相关问题，我们也围绕企业信息安全职位的发展定位，作了一个名为-The state of IT security 2018 的调查，希望结合State of the CIO的调查报告，厘清企业信息安全规划和发展思路，起到一些借鉴作用。

　　企业中到底谁来负责信息安全?

　　查看一家公司是否确实重视某事的最好方法之一，就是看看他们负责这件事的人对公司来说有多重要。从确切的信息化任职头衔上来说，可能会让人造成一些混淆，有首席安全官(CSO)，也有首席信息安全官(CISO)等，而且这些任职描述也可能因公司而异，就比如说首席安全官(CSO)负责的会有物理安全和数字信息安全的工作。

　　按照这种安全职位的任职方式来看，在我们调查的公司中结果有些混乱，有25%的公司拥有CISO，11%的公司拥有CSO，17%的公司安全高管中还兼任另一职位头衔，这也就意味着有近一半的公司没有专职管理人员来负责企业的信息安全工作。

　　首席安全官(CSO)负责整个机构的安全运行状态，既包括物理安全又包括数字信息安全。CSO负责监控、协调公司内部的安全工作，包括信息技术、人力资源、通信、合规性、设备管理以及其他组织，CSO还要负责制订安全措施和安全标准。CSO需要经常举办或参加相关领域的活动，如参与跟业务连续性、损失预防、诈骗预防和保护隐私等相关议题的活动。 首席信息安全官即CISO，负责整个机构的安全策略。

　　首席信息官(又称CIO，是Chief Information Officer的缩写)中文意思是首席信息官或信息主管，是负责一个公司信息技术和系统所有领域的高级官员。他们通过指导对信息技术的利用来支持公司的目标。他们具备技术和业务过程两方面的知识，具有多功能的概念，常常是将组织的技术调配战略与业务战略紧密结合在一起的最佳人选。CIO原指政府管理部门中的首席信息官，随着信息系统由后方 办公室的辅助工具发展到直接参与企业的有力手段，CIO在企业中应运而生，成为举足轻重的人物。美国企业的首席信息经理相当于副总经理直接对最高决策者负责。

　　负责信息安全的人向谁汇报工作?

　　当然，熟谙公司文化的人都会了解，通常个人在公司的内部影响力，很大程度上取决于自身向谁汇报工作而定，由此，我们就这个问题，分别向设有CSO和CISO的公司进行了一些调查，但结果却各有不同。

　　在设置有CSO的公司里，大约有一半公司的CSO直接向CEO或COO汇报工作，而有将近四分之一公司的CSO直接对公司CIO高管负责;而对设置有CISO的公司里，这种工作负责制几乎是相反的，有接近一半公司的CISO受CIO高管负责领导，有四分之一公司的CISO受公司其它高管负责领导。根据这种调查情况来看，至少从目前来看，似乎CSO是个更具威望的职位。而且在这两个职位之上，有时还会存在一些其它的隐形潜在领导，比如部门CIO和资产防损的CFO等。

　　信息安全负责人如何来规划企业信息安全发展道路?

　　为了实现效率最大化原则，安全需要从一开始就要融入集成到企业的规划战略中去。对于大多数公司的IT高管来说，这是公司信息化发展中最根本的事。我们针对IT安全规划和IT战略结合度的调查发现，有接近54%的受访公司表示其已进行了“高度整合”，这也侧面表明，IT安全规划已经逐渐成为IT战略发展中的重要部分。但也有近10%的公司表示，他们的安全投资或响应仅限于对当前出现的安全事件或挑战进行部署。

　　接受调查访问的公司IT高管深知这方面还存在很多不足之处，所以在我们问到，三年后如何整合IT安全战略与IT战略时，有82%的公司IT高管表示，会把这两者“紧密集成”，而仅有2%的公司IT高管表示不会集成整合。

　　公司CEO应该为企业安全做些什么?

　　对于信息安全方面的专业技术人员来说，抱怨高管人员对安全的松懈态度已经司空见惯，但随着网络攻击的增加，作为公司CEO的首席执行官们也会慢慢开始了解到，他们的工作与安全事件的潜在后果密切相关。在2015年的休斯顿CIO Perspectives会议上，Foley&Lardner LLP技术事务与外包业务合伙人Matthew Karlyn就表示，在这个数字经济驱动的利益环境下，数据泄露事件都会在各个公司不同程度的潜在或发生，公司必须提前做好准备，以最大限度地减少对资产、员工和客户的影响， “The entire C-suite and board is on the hot seat for security these days”(整个公司高层和董事会都需要着重考虑安全问题)。

　　针对这个问题，我们向受访公司CIO询问，公司CEO在来年的首要任务是什么?在排名前三的选项中，有36%的CIO表示，公司CEO在来年可能会提升企业IT和数据安全架构以防止网络攻击，这是这些CIO给出的最多选项。

　　信息安全处理需要流程化

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!