向谁汇报重要吗？

位上的员工不可避免地会与其他人发生冲突，因为安全人员的本能就是锁定系统让人难以访问，而这显然不能令希望信息和应用都能无摩擦访问的IT部门满意。CISO/CSO对战CIO时就会在公司组织架构高层上演此类剧码，斗争轮廓往往由公司内部的汇报层级描绘：如果安全高管向IT部门管理层汇报，CISO的战略执行能力就会受限，因为他们的设想终需服从IT部门“更大”的构想。

《2020年安全重点研究》访问调查的公司中，近半数安全主管直接通联公司高层。34%的案例中，安全高管向CEO汇报，另有12%向董事会汇报。同时，33%的情况下CISO或同等职位人员向公司CIO或部门CIO汇报。余下21%分散在不同汇报途径上，例如首席风险官或法律总顾问。小公司倾向于扁平化组织安排或许并不令人意外：研究发现，中小企业里59%的安全高管直接向CEO汇报，大企业这一比例仅为22%。

还有一个同样不出意外的有趣关联：能够“上达天听”的安全高管也更有可能瓜分较多IT预算留作安全所用。CIO.com发布的《2019年CIO状态》调查报告也清楚地反映了这一点。IT预算中只有不到5%花在安全上的公司同样有可能是CSO向CIO或CEO回报;但在安全上投入10%或更多的公司，CSO向CEO汇报的概率要高出一倍。安全高管头衔落在CISO身上的公司这种影响甚至更加突出：IT预算只花不到5%在安全方面的公司，仅3%的CISO向CEO汇报，但安全预算占IT预算10%以上的公司，26%的CISO向CEO汇报。

▶ 头衔意味着什么?

面对这么多种头衔，我们不妨先阐述下个中区别。头衔使用上的一些趋势可以用来区分CSO和CISO。总的说来，根据《2019年CIO状态》调查研究的数据，CSO在公司组织架构中的层级相对较高：安全高管顶着CSO头衔的受访公司中，43%直接向CEO汇报;但仅18%的CISO能直面公司高层。9%的受访公司称其首席信息安全主管向CSO汇报，表明该CSO职位有时候还负责IT以外的职责，比如物理安全。

但也有许多例外，对很多公司而言，CSO职位纯属技术性质。与其硬性区分，不如就用“CSO”统称安全高管，假定其绝大部分工作职责落在信息安全上。而且，事实上，很多专家都是混用CISO和CSO的。

▶ 安居IT范畴?

企业总是从小做大的，其汇报结构也是在发展壮大的过程中形成的。在成立时间相对较短的公司里，CSO向CIO或其他IT主管的结构很常见。如果公司尚有大量阻止和处理工作有待完成，例如确保实施恰当的防火墙规则，或者及时应用安全补丁，甚或初步盘点公司资产等基本过程;那这种情形就很真实了。毕竟，都不知道信息和设备在哪儿，何谈信息安全保护?CSO向CIO或IT主管报告的安排，能够使CIO充分摸清IT的情况，各个信息技术领域的全面可见性都汇集到一个中心人物那里。

但随着公司逐步成长，安全职能再呆在CIO体系下就不舒服了。最突出的就是，CSO可能会发现自己未必与IT部门其他人共享相同的工作目标和动力。CSO向CIO汇报的结构可能会造成成本管理凌驾于风险管理之上。说得更直白一点：CIO通常因为交付能带来收益的业务项目而获得奖励。CISO的工作则是修复漏洞，而这些安全项目总在跟盈利驱动的项目争夺资源。

此外还有重点不同的问题：CIO的业务目标很多，如果CSO受CIO管辖，他们在完成大项目时就会被划到同一阵营。举个例子，HigherGround Managed Services首席执行官Brian Brammeier就在提供的咨询的一家公司遇到过这样的场景：“有个重大安全漏洞正在泄露数据。CIO收到了通知，但并没有把这个问题分类为必须抛下一切优先修复的问题，也就没有给予应有的足够重视，而实际上这个问题还真就是不及时修复就会出大乱子的。鉴于问题的严重性，安全主管联系了董事会，后来董事会就修改了汇报结构，CISO直接向董事会汇报了。”

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!