诸子云 ▪ 中国企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织，是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。

撰稿 | 流苏

编辑 | 图图

诸子云沙龙合影

在沙龙活动中，诸子云发起人之一，唯品会CSO黄承以“CSO养成记之基础篇”为主题进行分享，以朋友之间闲谈的方式将CSO需要承担的责任以及可能会遇上的坑娓娓道来。

“我最近感到很沮丧”，这是黄承的开场白，颇让嘉宾们有点摸不着头脑。因为“安全”一词早在网络技术出现之前就已经存在，而纵观各种各样的“安全”，独独“网络安全”最是不尽人意，这让我非常沮丧。

唯品会CSO黄承

但是，沮丧只是一时的，毕竟诸位需要在这条路上一路前行。在开场白结束之际，黄承如是说。

本次分享的主题是“CSO养成记之基础篇”，因此侧重点在于“基础”二字，毕竟基础不牢，地动山摇，缺乏牢固的基础，上面的楼阁再漂亮也终将是一场梦幻泡影。

那么，CSO的“基础”有哪些呢？黄承将之分为四个方面：CSO意味着什么？一个人在“战斗”，Exodus以及三二话题。

CSO意味着什么

想要成为一个优秀的CSO，那么首先要明白CSO意味着什么；而想要理解这个问题，则需要从职责认同和价值体现两方面具体分析。

对于价值体现，大多数人都有一个清楚的认识；而对于CSO的职责认同，大部分人都不是很清楚，并因此导致CSO在企业或者组织中处于一个不太妙的境地。

其次，一个合格的CSO对于技能有何要求？黄承将之分为两个方面：硬技能和软技能。

对于任何一个CSO而言，知识的广度不断扩大，而知识的深度却在变浅，这就是人们常说的“图钉理论”。而CSO的软技能体现在对于组织机构的协调能力以及对现有的组织的状态有一个清晰的认识。

作为一个CSO，软技能的重要程度不亚于硬技能。

这时候，你会发现，你人生所学到的所有知识，包括工作经历、知识甚至于是个人爱好等等，是多么的不够用，甚至之前认为不重要的技能在现在是如此的重要。你常常会发现一些边边角角的经验也有可能会用上并发挥一定的作用。

对于想要成为CSO的员工而言，不论是硬技能不足，亦或是软技能不足，其实都不是最主要的问题，最关键的是要坚定的向前走，很多时候都是从零开始，都是硬着头皮上。例如之前黄承担任唯品会CSO时，也没有在甲方工作的经验。

一个人在“战斗”

作为CSO，需要总体负责企业安全所有工作，常常会出现一个人战斗的情况。可能很多人会问，怎么会是一个人战斗呢？CSO是负责带领整个团队的。

但是，对于一个正在学习的组织而言，所有人的状态都是处于观望状态。不论是安全部门还是安全团队成员，很多工作都需要CSO单独考虑清楚，这样工作才能开展起来。

这对CSO的时间和精力是一个巨大的挑战，包含着各式各样的工作。

第一，组织架构设计（全局），目标设定。CSO需要制定出符合企业需求的和安全相关的组织架构，包括所有能够影响安全工作开展的组织架构。

第二，建制实现，安全内部到岗位。在完成组织架构后，需要加快完成建制工作，包括内部建制和外部建制。黄承在唯品会担任CSO时，设立信息安全委员会并建立信息安全办公室，并将法务部门、资产保护部门、技术部门、核心架构部门等作为信息安全办公室的成员。

同时，黄承还设立安全联合委员，由各一级部门负责人指定人员参与，对整个信息安全办公室所有指令进行上传下达，并根据各部门及联络员的表现制定相关的考核奖惩机制。

第三，子部门/团队工作内容及工作流程。CSO可以依据安全问题的类型来决定子部门的设计。黄承之前在唯品会曾设计内部场景，包括唯品会所有产品的开发、测试、上线以及后期运营监控。而所谓外部场景则是基础架构以及和合作伙伴、供应商的外部系统连接、相关调试等等。

在岗位设定完毕后，CSO必须制定一个未来工作目标的总体预期，每一个组织机构设定一定要有一个清晰的目标，并把这些目标分解成具体化的任务，设定相关的工作内容和工作流程。

第四，着力点及后续路径。这是CSO开展工作时需要考虑的两个问题，对CSO而言是非常重要且必须考虑清楚的两点。在这之前，信息安全部门对于其他部门还没有实质性的影响，一旦确定着力点后便和其他部门有联系。

在唯品会，黄承便是从运维部门入手。安全和运维是有着共同利益的，安全部门可以为运维部门减轻不少负担；而运维部门是决定企业架构支撑的部门，并为打通其他部门提供了渠道。

CSO选择着力点一定要慎重，着力点和后续路径是相互关联的，CSO一定要先考虑好后续路径并以此来选择合适的着力点。

第五，个人预期设定。一个合适的CSO必须要有一个合理的个人预期。在未来工作中，CSO依旧还要面临各样各样的问题，甚至会因此而想要放弃，所以，CSO需要有个人的预期，并经受住考验。

Exodus

在分享完前面的内容后，黄承又开始讲起了电影——出埃及记，一部依靠信念加上神助从而获得成功的电影。那么，在网络安全中是否也是如此呢？

答案是“NOT”。实际情况恰恰相反，网络安全问题每天都有发生，处处存在；不断在验证“墨菲定律”，越是担心出现安全问题就越会出现问题；每每都是差一步，每一次汇报或者处理措施都是晚了一步；有些事情在变化，干安全负责人久了后，安全质量都提高了，精力也旺盛了，脑子里频道切换也由难变易。

对此，黄承和嘉宾们分享几点感触。

第一，工作大纲、要点及执行计划必须提前制订。CSO的职责就是将企业总体目标翻译成安全语言，将产品、业务部门的需求翻译成安全语言。因此，CSO一定要提前制定出工作大纲、要点以及执行计划，包括短期、中期和长期的计划。如果没有工作大纲和计划，安全团队的工作方向和路径都有可能出现偏差，工作计划和大纲的目的就是保证所有进度都是朝着目标前进的。

第二，资源优化出“懒蚂蚁。CSO需要不断对资源进行优化，不能让团队一直处于超负荷状态，否则，墨菲定律和一步之遥就会永远存在；因此，资源优化出“懒蚂蚁”是有必要的。“懒蚂蚁”可以为团队优化平台和工具，而高负荷团队是无法达到这样的效果。

第三，斩断链条，无论从哪。所有的安全灾难的发生，无一例外都是由一连串的安全问题引发的，因此，CSO需要做的是斩断链条。在日常工作中，CSO也要不断反思安全工作制度、流程、工作、平台是否合理；是否会对安全工作产生影响？面对不利情况，CSO应果断改变相关制度，营造良性的循环。

最后，黄承总结道：安全，很多时候就像是荒野中的摩西一样，衣衫褴褛走在最前面，能够经受起暴风雨，才有可能看到彩虹。

三二话题

在分享完自己的经验和见解后，黄承提出几个安全话题和嘉宾共同讨论、分析，并提出自己的看法。

第一，Leader和后备培养、招聘要求。在团队负责人的选拔上，一定程度考虑技术背景以及对部门目标的理解程度和执行程度，后者往往比前者更重要，能够更好的理解CSO的工作。反过来说，这也要求CSO在工作中需要给员工不断灌输团队的理念和目标。

第二，预算，绕不开的“ROI”陷阱。预算是CSO需要不断关注的焦点；这就要求CSO懂一些财务知识，知道财务中的一些坑是什么，包括预算该如何分摊等等。

第三，战术：持续推进，不懈怠；择机而入，不冒进。CSO前期制定相应的工作目标，并以此为方向持续推进；此外，在工作无法推动的时候，面对其他部门阻力时，CSO需要择机而入，否则容易两败俱伤。

第四，产品化意识。目前，很多安全团队往往会自己做一些开发工作，认为现在很多乙方产品不能完全满足甲方需求。而安全部门的产品化是非常糟糕的，很多时候都是产品的堆砌，企业真正需要的是在每一层、每一个环节中实现联动，这才是真正的产品化。

随着黄承演讲的结束，本次诸子云沙龙渐入尾声；这不是结束，而是诸子云腾飞的开始；未来，诸子云的规模将越来越大，吸纳更多的安全专家，为安全呈现一幅百家争鸣、百花齐放的画卷！

「推荐阅读」