从甲方视角看“首席信息安全官”的发展

文│ 海关总署信息中心原信息安全保密处处长 刘涤西

在我国的重要行业和央企中，基本都设立有信息安全管理部门。我在政府部门工作了 30 年，其中有 21 年是从事信息系统安全保密方面的技术和管理工作。本文从我的实际工作经历出发，从甲方视角，分享部委信息安全管理岗位的现状、职责、作用及具体工作方面的体会。

一、首席安全官（CSO）或首席信息安全官（CISO） 的定义和职责

从文字上看，首席安全官应该是负责一个单位、地区或者一个行业整体安全的人员；而首席信息安全官，从传统观念上看，应该是负责一个单位、地区或一个行业信息系统整体安全的人员。随着时代变迁，传统业务正从纸质时代迁入大数据时代，政府的工作方式也在从传统政务管理迁入了国家政务服务平台阶段。这就是我们所说的政务领域的“数据迁移和应用迁移”。与此相对应，我们的安全工作也从传统的综合业务安全，历经主机安全、信息安全保密、网络边界安全、网络生态安全等时期，直至今天再次成为架构在“互联网 + 电子政务”以及大数据时代的“全业务安全”，或叫作新一代“综合业务安全”。

从这个角度看，今天的首席信息安全官就是昨天的安全官，或者说，今天的首席安全官同样承担着大数据时代的信息安全官职责，无法分割。未来，这一角色将有可能影响政府部门正常职能的履行、社会治理工作的开展和服务水平的高低，应属于决策层的重要成员并承担行业安全主体责任。

我从事信息安全工作的年代，尚属于上述“数据迁移和应用迁移”过程之中。作为政府部门，其行业安全工作职责在办公厅，信息安全的工作职责在科技职能部门，尚未出现所述首席安全官和首席信息安全官这样的称谓或专门的岗位角色。

随着国家等级保护、分级保护工作的持续推进，作为合规性建设阶段的特征，其保密管理、安全管理、应急管理等工作内容，逐步汇聚到技术实施单位，即信息中心。后来，随着国家实网演练工作的全面展开，信息安全的风险管理和信息对抗能力也成为信息部门的责任担当。“信息安全官”的角色在这样的基础技术部门出现了需求，也在信息系统整体安全方面发挥了作用，但实际中这样的岗位还没有出现。

二、首席信息安全官应该具备的能力

政府部门中，“党管保密”“党管安全”“党管数据”一脉相承。无论是行业安全还是信息安全，党政的主要负责同志都是第一责任人，而首席信息安全官更应负起工作责任的担当。

合格的首席信息安全官要有对行业职能与行业风险的准确把握能力，特别像过去的安全生产管理的岗位，要知道部门的主要职责及职责实现的方法、途径、资源和风险，是一个行业安全风险的专家。

合格的首席信息安全官，同样要有首席安全官的基本素质。在此基础上，更加理解行业信息系统对这些职能的支撑情况（业务对信息系统的依赖度等），以及信息系统自身的实现方法、途径、资源和风险，是一个行业信息安全风险的专家。

合格的首席信息安全官，更是信息安全工作的组织者、信息安全资源的调配者、行业运营与应急风险处置的调度者，需要专业能力、决断能力及岗位赋予他的调度权利。

综上，部委和行业的首席信息安全官，应该是一个政治觉悟高、值得信赖，具有完整的行业背景、业务素质和技术能力的决策与调度人员。

三、为什么要设立首席信息安全官

当前，在部委中设立首席信息安全官岗位的情况并不是很普及，其岗位的定位也不是很高。从发展的视角看，设立这样岗位的要求是存在的，也日益迫切。

推动一个部委安全工作的核心动力，从传统而言，首先一定是国家的要求，我们把它叫作“合规性驱动”或“要求驱动”。这一点在等级保护、分级保护工作的开展过程中已经得到了充分验证，提高了行业的安全保密工作水平。未来，在诸如《关键信息基础设施安全保护条例》的实施过程中，也将持续发挥作用。

近年来，很多行业系统地开展了安全风险评估工作，加上国家实施的实网演练，使我们更加看清了自身存在的风险、漏洞以及“可能”遭受的损失。有一些行业和地区也为此付出了较为沉重的“代价”。信息安全对抗能力的建设成为一个突出的热点问题，这就是“代价驱动”：代价越大，驱动力越强。

随着国家对数据资源整合共享的要求落地，跨行业数据交换、国有数据投放市场等正在全面展开，已经成立了很多大数据局乃至数据交易所。现阶段，数据交易安全成为热点问题 , 触及多方“根本利益”，是真实的利益需求。业界都希望解决好这方面的问题，推动数据交易的全面有序开展，这就是“利益驱动”。就像没有安全保障，就没有网上银行和电子支付业务一样，这是真实的安全需要。

综上，现在行业安全“合规性驱动”“代价驱动”和“利益驱动”并存，出现了从传统的“合规性驱动”到“代价驱动”，再向“利益驱动”转移的倾向。这是一个好的现象，说明安全工作正在向更深入、更全面、更聚焦、更有实际价值的方向发展。

四、首席信息安全官需要重点关注数据安全问题

政府部门信息安全从业人员，有很多专业知识要学习，但也根要据行业不同各有侧重点。这几年，数据价值和数据安全问题越来越得到大众的认同，如何保证政务大数据和社会基础信息数据能够得到安全有序利用，是现阶段我们面临的最突出的矛盾，即“数据资源开发利用不足和无序滥用”的矛盾。近期，要关注云环境下，特别是公有云环境下的“数据资产安全治理”“数据资产智能化管理”和“数据资产综合安全运营”等方面的产品技术和服务解决方案。

在安全技术创新方面，最应该关注的是“数据海量标识”技术和国产密码算法的应用，这是数据治理的最基础能力，也是其他很多创新工作的前提。这方面，“密级标识”做了很多有益的尝试，取得了一定进展。我们也期待“数标”，也就是数据资产权益标识的研究进展、解决方案和国家标准的出台。

五、国内首席信息安全官的发展前景

首席信息安全官角色在企业里会较早出现，特别是银行和大型的互联网企业，这符合企业利益驱动的本性。在国企和涉及国家安全、公众利益和个人隐私安全的企业中，只要国家有要求，也会很快地建立起来。对于政府部门，受到其编制和职级的限制，即使有“要求驱动”，也会有一个相对较长时间的落实过程。但对于出了问题会造成重大损失的部门而言，则会快一些，这符合“代价驱动”的基本规律。

从发展前景看，首席信息安全官会越来越多地从事行业全新业务布局与业务决策，主要是解决“互联网 + 大数据”创新前提下的“新业务运行模式”和“全业务安全工作”，增加业务弹性，保持业务连续性。业界会需要更多的，也会涌现出这样的“行业专家、风险专家和技术专家”的综合体，把责任担起来。

首席安全官和首席信息安全官具体会是什么，我们都暂且不要太多地描述或加以限定，例如是业务还是技术岗位，或哪类人群更适合等。就像我们不能限定未来的全新业务创新工作，是业务引领还是技术引领一样。首席信息安全官的发展需要一个长期深入研究和摸索的过程，更需要实践检验。今天唯一可以确定的是，不管叫什么名字，这个岗位都会是行业安全工作的责任主体和创新保障，这样的人是社会所急迫需要的。

（本文刊登于《中国信息安全》杂志2021年第11期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。