中国首席安全官研究报告

中国首席安全官（CSO） 调研报告 安全内参 行业安全研究中心 2018年9月 摘 要  本次调研共收集到来自不同行业政企机构的调研问卷129份。从被调研者所属行业来看，IT和互联网行业占比最高，分别为25.6%和13.2%。其次，通信行业占比为10.9%。  从CSO岗位的设置情况来看：正式设立CSO或相应级别岗位的政企机构约为30.2%；20.9%的机构正在考虑设置；而近一半的机构，目前完全没有设立CSO或相应的岗位。  从CSO的汇报对象来看：27.2%的CSO的汇报对象是公司CEO或机构一把手；12.4%的CSO汇报对象是技术副总裁；41.1%的CSO的汇报对象是分管领导。  在大中型企业中，百万级规模网络安全投入是主流。38%的万人以上规模的政企机构投入超过5000万；25%的3000-5000人规模的政企机构投入超过5000万。  八成以上的政企机构在过去两年内对网络安全的投入都在增加。其中，明显增加的占比为42.6%；稍有增加的占比为41.9%；但是，仍有15.5%的机构没有增加网络安全的投入。  CSO对网络安全团队建设最大挑战的看法：32.6%的CSO认为是待遇薪资太低留不住人才，29.5%的CSO认为是网络安全人才稀缺；20.9%的CSO认为是安全人才的上升通道不畅。  CSO评价自身所在机构的网络安全建设水平处于滑动标尺模型的阶段：仅有0.8%CSO认为达到了进攻反制阶段；而41.1%的CSO认为仅仅是达到了被动防御的建设阶段。认为自己所在机构能达到主动防御阶段水平的被调研者约占27.1%。  CSO对机构自身的网络安全建设水平的看法：仅有4.7%的CSO认为已经达到了国际先进的水平；认为自己达到了国内领先和行业领先水平的分别占15.5%和20.9%。  CSO对内部威胁的看法：43.4%的CSO认为“内部”威胁过去不是重点，目前重视度在增加；37.2%的CSO认为内部威胁已经是目前防护的重点之一；13.2%的CSO认为，针对内部威胁缺乏行之有效的措施。  CSO对网络安全工作转型的主要聚焦于：29.5%的CSO们认为是“需从事后补救式防护转向三同步”；其次，27.9%的CSO认为是“需要从安全合规转向安全能力建设”，选“需要从边界防护转向主动立体防护”占比21.7%。  CSO对未来网络安全建设的看法：约七成的CSO认为，从购买安全产品逐步转向购买安全服务；40.3%的CSO认为未来在网络安全建设时会与安全公司联合运营；还有29.5%的CSO认为，在未来网络安全建设时会采用安全服务外包。  CSO关注的网络安全技术创新领域：72.1%的CSO选择了“大数据”，排名第一；其次是“人工智能”，65.9%的CSO看好这一领域；“用户行为分析”排名第三，看好率为55.8%。 关键词：首席安全官、首席信息官、CSO、网络安全 目 录 第一章 CSO现状与面临的挑战 ............................................. 3 一、 CSO岗位的设立 ......................................................................... 3 二、 CSO的行政级别 ......................................................................... 4 三、 CSO的汇报对象 ......................................................................... 5 四、 运营与管理中的困难 .................................................................. 6 第二章 网络安全投入与团队建设 .......................................... 8 一、 网络安全的投入情况 .................................................................. 8 二、 安全团队的建设规模 ................................................................ 10 三、 安全团队的建设难点 ................................................................ 11 第三章 CSO对机构安全建设的自评 ................................... 12 一、 网络安全发展阶段 .................................................................... 12 二、 网络安全建设水平 .................................................................... 14 三、 对内部威胁的看法 .................................................................... 14 第四章 CSO对网络安全趋势的认知 ................................... 16 一、 网络安全工作的转型 ................................................................ 16 二、 网络安全服务的普及 ................................................................ 17 三、 网络安全技术的创新 ................................................................ 18 第五章 总结 ............................................................................ 19 附录1 2018中国首席安全官调查问卷 .............................. 20 附录2 安全内参 .................................................................. 21 1 研究背景 CSO，即Chief Security Officer，意为首席安全官或首席安全信息官，主管一个机构内部的网络安全事务。这一关键性职务目前在欧美国家的大型政企机构中已经普遍设置，并且具有较高的内部权力。同时，这一职务在国内也正在得到越来越多的认可与重视。 为了深入了解国内大型政企机构网络安全建设现状，了解中国各大政企机构首席安全官的工作环境，国内权威网络安全咨询平台《安全内参》与奇安信集团的行业安全研究中心展开联合研究，对不同行业政企机构的首席安全官或安全负责人进行了一次深入的调研，并形成此份研究报告。 考虑到国内很多政企机构的网络安全主管人员并不一定会被任命为首席安全官，或相关岗位有其他名称，所以，本次调研所针对的对象并不严格限定为CSO或首席安全官，而包括首席安全官、首席信息官（CIO）、网络安全主管、网络安全分管领导、网络安全主要负责人等。被调研人员一定为该机构网络安全工作的主管领导或主要负责人，但不一定是专职领导或负责人。 本次调研共收集到来自不同行业政企机构的调研问卷129份。从被调研者所属行业来看，IT和互联网行业占比最高，分别为25.6%和13.2%；IT和互联网是以网络为基础发展起来的，其对网络安全的认知与感知度相对较高。其次，通信行业占比为 2 10.9%；教育行业占比为7.8%。具体分布情况如下图所示。 以这129份调研问卷为基准，本次报告在首席安全官的现状与面临的挑战、网络安全投入与团队建设、CSO对机构安全建设的自评以及CSO对网络安全趋势的认知等方面进行了深入的分析与研究。 3 第一章 CSO现状与面临的挑战 CSO，即Chief Security Officer，意为首席安全官或首席安全信息官，主管一个机构内部的网络安全事务。这一关键性职务目前在欧美国家的大型政企机构中已经普遍设置，并且具有较高的内部权力。同时，这一职务在国内也正在得到越来越多的认可与重视。 本章主要对政企机构的首席安全官的岗位设置情况、行政级别、汇报对象以及运营与管理中的困难进行分析。 一、 CSO岗位的设立 政企机构设置CSO这个岗位，通常意味着机构高层希望在某种程度上把信息安全工作抓起来、需要有人对此统筹、负责。而此次调研显示，目前正式设立CSO或相应级别岗位的政企机构不足三成，约为30.2%；20.9%的机构正在考虑设置这一岗位；而近一半的机构，目前完全没有设立CSO或相应的岗位，也没有考虑短期内设置这一岗位。这一结果在一定程度上反映出网络安全工作仍然普遍没有得到足够的重视，网络安全主管人员或主要负责人，在政企机构内部的地位仍然普遍不高。 4 特别需要说明的是，由于很多政企机构尚未设立首席安全官（CSO）的岗位，所以本次调研对象中除了正式的CSO外，还包括首席信息官（CIO）、网络安全主管、网络安全分管领导、网络安全主要负责人等。但本次报告为了分析和表述方便，如无特殊说明，后文中统一使用CSO或首席安全官指代政企机构中的网络安全主管和主要负责人，不论其实际岗位名称或行政级别如何。 二、 CSO的行政级别 首席安全官的行政级别在一定程度上代表了该机构对网络安全的重视程度。CSO的行政级别越高，一般相应的权力也越大、话语权越高，拥有的资源越多，网络安全运维与管理工作也相对更容易开展。 考虑到政府及事业单位的行政级别与企业内部的行政级别有较大的差异，所以，本次调研进行了分别统计。统计显示，在 5 企业中，仅有12.3%的CSO行政级别达到了副总裁级别；47.4%的CSO属于总监级别；40.4%的CSO级别为总监级别以下。 从政府及事业单位来看，仅有2.1%的CSO行政级别能够达到副局级；14.9%的CSO行政级别达到处级；61.7%的CSO的行政级别处于科级；21.3%的CSO的行政级别处于科级别以下。具体分布情况如下图所示。由此可见，对于绝大多数政企机构来说，CSO的行政级别极低，很难发挥有效的安全管理作用。 三、 CSO的汇报对象 我们再来看CSO 的工作汇报对象。统计显示，27.2%的CSO的汇报对象是公司CEO或机构一把手；12.4%的CSO汇报对象是技术副总裁；41.1%的CSO的汇报对象是分管领导。具体分布如下图所示。 6 四、 运营与管理中的困难 首席安全官在工作中也会遇到各种各样的困难。调研显示，56.6%的CSO认为当前缺乏有效的技术手段落实安全管理；51.9%的CSO认为相对于业务发展，安全部门缺少话语权；41.9%的CSO认为安全人员地位低但责任大。仅有7.8%的CSO认为没有太大的困难。 7 网络安全工作的价值和重要性往往难以得到领导或机构高层的认可，与高层的沟通也存在诸多的困难。这也是本次调研反映出的一个重要问题。这些与机构高层沟通中遇到的困难主要表现在以下四个方面： 1） 网络安全损失和投入收益无法量化，难以证实安全的价值。这也是网络安全负责人与机构高层沟通中遇到的最为普遍困难，65.9%的 CSO遇到了这样的困难。 2） 网络安全该怎样与业务的结合，怎么从业务视角看安全也是一个重要的沟通难题。有超过半数（51.2%）的CSO遇到了这样的困难。 3） 安全问题太技术，难以沟通清楚。30.2%的CSO遭遇这样的沟通困难。 4） 缺乏与最高层直接沟通的机会。17.8