此次颁奖盛典聚集了全国各地100多位来宾，囊括了全国各地的业界专家、企业代表、合作伙伴以及CSO/CISO们，大家共同享受了这一美好时刻，也共同见证了这一场国内首次属于甲方安全从业者的欢庆盛会。

2021（首届）超级CSO年度评选颁奖盛典，得到了包括中国网络安全审查技术与认证中心（CCRC）、大数据协同安全技术国家工程实验室、中国管理科学学会应急与安全管理专委会、国家信息中心《信息安全研究》杂志社等在内多家机构的大力支持。

回顾本届评选活动，组委会从数十位自荐和推荐参选人中，经过认真审慎的资格认定和专家评审，选出20位优秀CSO，作为2021（首届）超级CSO年度评选的提名奖获得者，即TOP20，同时基于TOP20，最终评出年度十佳CSO。在此，组委会特别向各位获奖者表示衷心的祝贺，同时向他们过去一年里对中国网络安全在企业用户端的建设与发展，做出的贡献，表达诚挚的感谢。

同时，十佳CSO经过这一年的评选也一定有许多的心得体会愿意和大家分享，安在因此做了群访合集，以飧读者。

1、当下在所在企业负责安全的主要职责和日常工作是怎样的？有无什么焦虑？又是如何克服的？

刘志诚：我主要的工作范围大概分几个方面。一个是风险的评估与管理，从全局的视角上关注企业目前的关键风险以及可行的安全策略，如何通过安全策略的部署控制风险在企业可接受的范围。

二是资源的协调与整合，包括决策层，支撑层，合规与业务层各级领导的沟通，传达当下风险的预测和控制措施的建议，协商安全控制措施的目标与计划，确定预算、投入，落实安全策略的资源与支撑需求，协调业务和资源投入的进度，同时也和业界保持充分的沟通与协作，通过协作确保企业的安全底线。

三是团队的管理与安全控制有效性的度量，我们的团队是一个小而精悍的专家团队，即在各安全领域有一技之长，又具备产品思维，项目管理能力，可以推动安全能力建设和运营的落地工作，通过OKR、周会、周报、月报，大家形成共识，建立协同与补位关系，通过对安全控制措施有效性指标的分析、度量，确认安全处于可控状态。

焦虑谈不上，但忧患意识始终是存在的，几个方面，一个是传统安全企业对扩展攻击面（EASM）认识不足，仍关注与传统企业内部安全，产品忽视了生态的需求，导致的场景化支持力度不足，新兴安全企业在产品上的性能，稳定性，用户体验上，支持力度上存在不足，导致安全风险响应不足。二是，资源永远都是不够的，只能在有限的资源空间内，调整风险控制的优先级，这会造成一定的不确定性风险暴露。这些困难和业界同仁多有交流，达成一些协作的共识，相信安全行业共同努力下，可以克服困难。

宋士明：我目前在一家上市券商的科技部门担任网络安全团队负责人，我们团队目前有安全、网络和云平台基础架构三部分职能，当下尤其以安全相关的工作最多，我本人的工作重心也绝大部分在安全方向。由于网络安全工作是一项涉及面广泛的综合性工作，既包括技术运用也离不开安全管理，所以我日常主要职责是带领团队成员齐心协力，共同成长，一起做好公司的网络安全、云网平台相关的合规管理、体系规划、架构设计、方案测试、部署实施、项目建设和运营管理等多方面工作。

随着国内外安全形势的日益严峻，国家有关网络和数据安全的法律法规以及行业政策陆续出台，作为时刻面临强监管的金融行业安全负责人，在有限资源投入和团队人手少的困难条件下，对如何有效提升企业安全的合规性和能力水平一直存在焦虑。以上所提及的焦虑问题，其实也是目前国内甲方安全团队普遍面临的问题，需要安全负责人具备基于风险的安全架构思维，把有限的安全资源用在刀刃上，优先解决主要的安全风险，最大化降低企业安全风险，并通过持续的风险评估和安全运营确保企业安全风险可控。

沈嗣贤：主要职责是在公司内统一管理各类信息安全相关事务，维持安全管理体系正常运转。日常工作是召集及参与各类安全相关的会议，协调沟通各个跨团队跨部门的安全工作，审批安全相关的流程，维护安全相关信息系统，各类安全相关的汇报总结等。个人认为适度焦虑有利于工作推进。但应尽量避免会影响工作生活的过度焦虑。

2、如何在工作中获得成就感？

刘凯：一、保持努力的方向和成果都是自己想要的。二、做起事来不是快，而是飞快，如果只是快，那还是太慢了。三、不浪费别人的时间，又节省自己的时间。四、能多喝水，又不熬夜。

宋士明：在安全建设和管理过程中，安全最佳的状态是“润物细无声”，因为用户体验好，并不意味着他们一定意识到了安全的存在，然而对于安全从业者来说，做好安全工作并不意味着需要一直躲在背后做无名英雄。作为安全负责人，有义务激励团队成员保持持续有效学习，培养他们做好安全工作所需的全局和深度思考能力，鼓励他们以业务的视角思考安全风险，在做好安全技术防护和运营管理的基础上，积极主动地为业务做安全赋能，充分表达自己的安全思维和观点。

在日常工作中，能做好对上管理，善于抓住一切有利的机会，积极向上争取资源，并在公司内部推动和营造网络安全文化，让公司全员意识到网络安全的重要性，将安全的价值最大化。此外，安全行业特别需要“抱团取暖、守望相助”，安全从业者特别需要多与同行交流分享，发表自己的有价值安全观点和实践经验，传播企业网络安全的价值。以上是我在从事安全管理工作中获得的最大成就感。

赵锐：给业务运营带来真实的帮助，得到业务的认可比自己吹牛更有成就感。比如，保护和提升企业品牌及其相关价值。这些措施包括防止安全事件对企业价值及其企业形象造成负面影响。其次，支持拓展市场份额的业务战略。实现某些市场、业务准入的安全要求。三，业务流程可用性。除了面向客户的流程的明显重要性之外，还必须考虑对后台系统、流程（例如：财务系统和办公自动化）的影响，不能明显牺牲效率。四，敏捷性和适应性。需要更快地响应业务和技术环境的变化，利用新技术、新方法安全地开发新产品。五，迭代更新，不断完善。六，关注监管环境的变化。评估法律或法规变化对安全的影响，并及时调整完善，解决管理层对于这方向的担心和焦虑。七，营商环境的变化，供应链安全。例如，地缘政治风险，新冠疫情的影响。

吴致远：工作的成就感主要来源于交付结果，把事干成。比如我们通过自研的稽核检查系统，对各个一线业务单位的稽核检查自动化以及常态化，将集团80多一线公司的稽核检查工作线上化，如果单纯靠人工去检查，4个人得需要半年的时间，考虑到当前疫情的情况，基本上不可能完成。另外我们也随着技术发展趋势，不断进化我们的安全防护体系，技术上引进了业界普遍认可且比较前沿的工具，比如零信任和自动化编排与响应，通过自动化防御，对各类恶意攻击行为的拦截从发现到自动化处理结束平均仅用10分钟。

3、怎么看待CSO/安全负责人在企业里的定位？

刘志诚：传统的CSO安全负责人的定位局限在信息化基础设施安全的保障者和救火者，在数字化时代，信息技术成为企业的核心竞争力，这几天阿里的倪行军从CTO升任支付宝的CEO就是信息技术负责人成为公司一号位的典型表现，那么向CTO、CIO汇报的CSO的格局和视野也要打开，技术对业务风险的控制与治理成为安全的主旋律，那么CSO作为CXO决策核心的地位也必将指日可待，只不过CSO们要做好相应的知识储备，要不然，CSO的地位提升了，安全负责人坐不了这个位置就变成一种遗憾了。

刘凯：安全团队在一般企业中的定位，首先是“保障”，包括防御、风险控制与惩治等，这是第一层基础需求；其次是“促进”，包括陪伴业务、助力品牌、赋能生态等，这是第二层成长需求；最后是“发展”，包括能力输出、行业贡献、创新专利等，这是第三层实现需求。安全团队的侧重不同决定了CSO/安全负责人的定位也略有不同。前者偏重实干和管理，中者偏向协作和推动，后者偏向奋斗和开拓。

梁龙亭：一个是公司给你的原始定位，另外一个是你自己给自己的拔高定位；可以说，百分之九十五以上的CSO只会根据公司给的原始定位进行工作，只有极少数的人会跨越这个原始定位框架，延伸自己的工作边界，去拔高定位。CSO一定要广泛参与公司治理，积极主动作为，激发出每名员工的安全参与感；因为安全不是CSO一个人的工作，也不是安全团队这一个团队的工作，而是全体员工的工作。每个员工都应肩负安全指标，CSO的主要工作，或者说终极工作目标，是要在公司最终形成“安全文化”，无论公司开展什么业务，只要CSO有意愿积极主动作为，就一定能在里面找到落脚点。不管CSO在公司处于什么样的职级，都应该有一种舍我其谁的精神，一种大家都要来配合我们安全工作的“固执”。

吴致远：个人觉得CSO/安全负责人在企业里需要从更高的维度，寻求业务发展与信息安全之间的最优解。目前，大多数业务部门一方面已经认识到信息安全的重要性，业务的快速发展离不开信息安全的支持与保障；另一方面却由于对信息安全的内核本质不是很了解，觉得信息安全是业务发展的非必要条件，无法创造实质的价值并在一定程度上成为“阻力”，而对信息安全的重要价值深表怀疑，而信息安全也很难说明其量化价值，久而久之，两个角色之间的间隙越来越大，造成了信息安全与业务一定程度上的“对立”，无法紧密融合的现象。因此信息安全与业务融合近年来成为管理领域最热门的关键词之一，这其中就需要CSO/安全负责人成为业务和安全的沟通桥梁。

4、在安全工作上有无碰到过什么瓶颈？又有哪些突破方式？

宋士明：当下，在安全工作开展上，企业CSO/安全负责人普遍都会面临以下的问题或瓶颈，随着网络空间安全形势日益严峻，以及国家和行业的安全监管和处罚力度日益加大，安全工作需要涉及的内容无论在广度还是深度上均在不断扩大，但安全投入在绝大部分企业决策层眼中还会被认为是成本中心，安全投入比例普遍较低，安全团队人员配置严重偏少，安全人才缺口严重，这些是目前国内企业网络安全工作普遍面临的瓶颈。

安全投入看似无底洞，也不存在绝对安全，很多企业不愿意对网络安全做持续的投入。我觉得企业CSO/安全负责人需要在持续做好风险评估的基础上，为企业实现业务发展相适应的安全建设，将有效的安全资源投入放在刀刃上，优先解决最主要的、风险较高的安全问题，充分挖掘现有安全资源（包括安全设施和人员）的能力，通过持续有效的安全运营工作，降低和确保企业的安全风险水平一直处于可以接受的范围内。

梁龙亭：CSO工作中最大的瓶颈就是在遭受黑客攻击时，无法实时开展对抗，只能利用工具的力量开展预防、检测、阻拦或者事后追溯；职业黑客在全球人数也有限，且职业黑客不太会转为“白帽子”，即便转为“白帽子”，恐怕也无法抵挡另一组有组织有预谋的黑客进攻；另外，当前的绝大多数“白帽子”是不具备职业黑客的技术能力的，这就造成力量的“不对称”，而这个不对称是永恒的。

而该瓶颈的克服应当依赖安全厂商，CSO需要广泛接触安全厂商，了解各种解决方案，集各家之所长，形成不同安全厂商的异构，当然也需要安全厂商时刻自我更新，不断探索。

蔡俊磊：主要瓶颈可能是安全团队发展到一定阶段后需要考虑如何继续创造价值。突破方式一方面可以持续苦练内功，做好团队内部的能力培养和持续学习，脚踏实地做好基础安全工作；另一方面可以加深对业务的理解，寻找通过安全工作赋能业务的支撑点，并做好向上管理，以更高视野来审视现有安全工作中的不足，并优化调整。

吴致远：安全工作的瓶颈主要还是来源与安全人才的招聘上，虽然这几年安全这个行业很火，但是人员的能力也是参差不齐，高校对安全这个专业的人才培养短期内又没那么快见效，再加上行业对人才的竞争，一部分流向互联网大厂，一部分留下央企国企，然后再有一部分去了乙方，能够流入我们的新鲜血液就更少了，一个岗位的空缺往往需要三个月才能补上。我们有很多事情要做，很多先进的安全理念要去实践，这些没有优秀的人才是无法实现的。

面对这个问题，无论是对现有人才的保留还是新鲜血液的引入，我都会从发展的眼光来看待，我们会提供更多的机会让大家可以学习到企业安全管理的一套理论体系，我们不限制个体的发展，工作岗位上不会局限于某一领域的某一单一技能里。我们团队的很多人都是在不断成事的过程中突破自我边界迅速成长的。

1、对于CSO有哪些能力要求？

刘志诚：首先是业务能力，要对企业的业务具备充足的了解，包括，目标，资源，流程，风险，核心竞争力等，只有了解业务，才能做好业务的支撑，在保持目标一致的情况下，协调安全风险达成共识，落实安全控制措施。

其次是全栈的技术体系能力，信息化技术日新月异，没有足够的全栈技术视野，在风险识别与判断，安全控制措施能力建设和运营落地的场景化上有所欠缺，很难构建主动防御纵深防御的安全防线。

第三，通用的管理能力，项目能力，产品能力，沟通、协作、预算，成本，产业互动，分享传承，无论是文字还是语言，对一个CSO而言，都需要全面而综合的素质与管理能力，如果缺少其中的关键环节，必须主动学习，快速补足。

第四，放在最后的是压轴的，是要具备安全的全局的知识架构，实践经验，显性知识体系有很多路径，学历，证书，体系化的学习可以获得，隐性知识需要长期沉浸，萃取，提炼，抽象，总结，形成自己的全局的安全观，并且持续学习，维持知识库的更新。经验这个事情，很多时候需要机会去体验和历练，当然，分享，传承的案例，实践书籍都是成长路上不可或缺的精神食粮。这一点需要积累，沉淀，很难速成，这也是为什么安全负责人这么稀缺的关键原因。

沈嗣贤：快速学习和掌握新知识和技术的能力，高效时间管理能力，具备较强向上平行向下管理的能力，具备较强风险管理意识等。

李晓文：企业面临很多的商业风险，从Cyber Security的视角来看， CSO要应对的是信息资产被“窃”、数字化的业务流程被蓄意破坏等导致企业遭受直接或间接的经济损失，在数字化转型的大背景下， CSO必须让安全成为业务及在线流程的一部分，简述需要具备的能力如下:

■ [ 1] 理解并承接业务战略的能力：安全已成为不可脱离的部分，是业务基本保障不可缺少的一部分，至少要从支持业务发展、降低商业风险、遵从法律法规三个方向来负责安全相关的事宜，并将承接后的战略转化为战术项目。

■ [ 2] 风险评估的能力：基于治理体系的模式，熟悉和理解业务，并立足科学的而非主观的风险评估，确保安全决策的投资收益比，安全技术能力的实施应适度超前，结合情报，构建持续的主动防御以更快响应可能新出现的威胁。

■ [ 3] 持续学习的能力：理解企业的基础投资和技术创新，无论是企业的研发或是企业的IT，数字化的进程中，有些创新技术会带来颠覆性的改变，如何保护因这些技术创新产生的商业秘密或因此伴生的风险，需要持续学习和敏锐的洞察力。

■ [4 ] 沟通能力：向上沟通-将战略承接转换为有数据支撑且可视的价值以持续的获取管理层的投资；横向沟通-服务和保障业务，横向拉通业务对安全的持续理解和认可；向下沟通- 赋能团队，一支善于作战和持续成长并产生合力的专业团队是业务信赖的基石.

■ [ 5] 组织能力：应急响应不仅仅是团队的应急预案和日常演练，如何提高跨部门的应急响应能力更至关重要，需及时响应入侵攻击，最小化对业务的影响或破坏，应组织跨部门的模拟演练，以提升企业实时的响应能力。

2、怎样的人群更适合担任CSO或更可能成为CSO？

蒋琼：首先需要具备安全或泛安全如风控合规审计方面专业基础，同时对于人员管理方面需要有足够的理论包括实践积累。安全是个壁垒较高的行业，作为CSO尤其需要懂得尊重技术尊重人才，尊重安全本身具有的复杂性特点。当然，分析力、逻辑力、表达力，这几项管理类人才在职场上的能力项都是成为一名合格的CSO所要具备的核心能力。

宋士明：网络安全无论是技术体系还是管理体系庞大而复杂，网络安全工作涉及多机构、多部门、多角色，涉及业务、数据、平台、运营等多环节，网络安全涉及全局全域，件件都需要落实，企业确实需要一个强有力的网络安全团队。网络安全团队要跑得快，全凭车头带。我认为，能够说服企业决策层理解并持续支持安全工作，提升企业整体安全意识，营造企业网络安全文化，解决历史积累的安全风险，安全助力业务数字化转型，以及能洞悉全貌，具备非常高的格局、眼界、层次，秉承结果导向，坚持终身学习，并能独当一面的专家，更适合或更可能成为企业CSO/安全负责人。

梁龙亭：有自驱动力，不断学习，不断超越自我的人群更适合担任CSO，因为信息技术不断发展，攻击手段不断更新，魔高一尺，CSO必需道高一丈。CSO可以不必直接与黑客开展对抗，但是针对黑客的攻击，必须熟知市场上有哪些解决方案，各个解决方案的优缺点也要能够独立判断，一旦需要购买相关产品或者服务时，CSO要能够为公司找到性价比最高的解决方案。

渗透测试人群更可能成为CSO，一是具有“技术安全”的实操能力，再辅以“管理安全“的系统思维，研究学习所有安全相关的“法律法规”，就具备了CSO的三大经典能力。从技术走来的CSO，顺流而下，左右逢源，一泻千里；CSO最终会去实向虚，形成“安全哲学”，成长为安全思想“大家”；而从审计、安全认证咨询走来的CSO，艰难走向“技术安全”这座大山，逆流而上，且进且退，避实就虚，终将难以名副其实。

3、对愿意成为CSO的年轻人有什么忠告和建议？

刘凯：一、当你在某一个安全细分领域学习和实践遇到瓶颈时，不妨换另一个细分领域清醒一下头脑，回过头来或许难关自通，但这并不是鼓励你浅尝辄止。二、当你成为CSO时要清楚认识到，它只是一个职业角色的起点，而非终点。三、做网络安全需要兴趣不是兴奋、需要初心不是动心、需要骄傲不是高傲，希望你能够干一行爱一行，放下得失与名利，使自己归复清净的生活。

赵锐：想想自己工作的目的，以及自己的未来和现在的状态。

1、如果想让五年后的我工作和生活开心、无忧无虑，现在和后续几年，我要怎么做？

对于刚入行的安全人员，至少在安全技术、安全管理方面有实际的一线工作经验和项目管理经验。另外，肯定是努力学习、研究安全领域的专业技能，并扩大网络安全的知识面，这可能是最有效最有帮助的方式。

2、如果想让十年后的我工作和生活开心、无忧无虑。又该怎么做？

对于有一定工作经验的安全人员，现在的专业技能可能并不是最重要的了，因为这个世界唯一不变的是变化。经过成长以后，在后期里管理能力、换位思考、情商等更为重要，建议读读《CSO进阶之路》。另外，随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律、法规和国家标准的实施，解决管理层对于安全的焦虑也是必需掌握的技能。

蔡俊磊：既要低头看路，也要抬头看天。不要忽视基础的安全工作，持续精进，始终保持敬畏之心。

吴致远：扎实的基本功无论是管理体系上还是技术体系上，这个就不说了。要培养自己的逻辑思维，无论是人还是事务，要有能发掘其本质的能力。绝大多数工作也并不需要你有创造力，不需要你特别聪明，普通人努努力能做到的事，反而是工作中需要的，比如：守时、守纪律、有秩序、有条理、交代的事情及时处理、细心、出错率低，这些做到了，到哪里都是受欢迎的员工。现在看到有些年轻人跳槽太频繁，要有耐心，你的努力，你的才能培训，可能十年后才出效果。

4、除了工作，CSO还应该在生活中获得怎样的“补给”？

刘志诚：首先是多读书，读好书，每年至少50-60本的书籍，对提升自己的综合素质能力非常有价值。其次可以偶尔看看电影，我是资深电影爱好者，曾经年均在80-100部，这两年下降的比较多，大概10-20部，好的电影让你走进你不可能涉入的生活场景，代入感会带来不一样的启发。

当然锻炼健身也是需要的，最近发福了很多，不太敢跑了，顶多在健身房力量训练完做下椭圆机，曾经每周两次10KM，大汗淋漓的感觉会带来成就感和轻松，立个Flag，继续坚持，明年再瘦30斤。最后最重要的是要多陪伴家人，和爱人，孩子聊点家常里短，聊点企业八卦，不经意间，看似废话却会拉近距离，带来信任，家永远是一个港湾，不要做冰冷的过客，不要做无话可谈的陌生人。

梁龙亭：作为CSO，如果你不会编程，建议你业余时间“补给”一下，我首推Python，报个学习班，如果不想花钱，网上教学资源也是异常丰富的，编程会让安全工作如虎添翼，你可以按照自己的想法，写很多安全检测小工具，这些小工具日积月累，形成了“安全工具箱”，这个安全工具箱就是你的独门绝技，会让你的工作更出彩，且无可替代，并成为你成功“溢价”的重要利器。

蔡俊磊：多在行业内交流，参与各种专业社区活动，并通过不同方式进行专业知识和软技能方面的学习，持续完善自身的安全知识体系。同时也对这个世界保持好奇心，培养可以持久的兴趣爱好，勇于探索其他领域，以获取工作上的灵感。

张耀疆：CSO是一个舶来品，一如IT领域的CIO、CTO。对网络安全而言，它具有代表性。既然CSO是舶来品，我们就需要关注它的源头，关注其在国外的网络安全文化，同时也要关注它的发展演进。

另一方面，我们更要侧重于本土化的落地，因为任何一个舶来品，它在落地时都需要结合自己的特点才能真正的发展起来。在网络安全里有一个非常时髦且现实的概念，就是所谓的对标，国内的网络安全技术演进，它所包含的新概念、新技术、新解决方案、新产品，特别是创新创业，其实很多都是在对标美国和西方，但不管怎么对标，我们在国内的发展都需要具备自己的特点。

因此，中国网络安全市场可以说和西方相似，但有所不同，而CSO、CISO群体的发展也是同样的概念。

在国外，CSO的发展较早，如今已经有了相对比较成熟健全的模式和体系，国内则是刚刚起步。所以可以看到，CSO在国内还需要相当长的一段时期去发展、去成长，现在正处于刚起步的阶段，因此，它具有非常巨大的潜力，也是非常好的发展机会，对网络安全从业者来说，CSO作为职业目标肯定有前途。

此外，国内CSO的发展不会完全照搬西方，各企业对CSO的定义也是不尽相同，职能、责任方面的体现也是更具多样化，其未来发展的空间也是五花八门，结合这种种来看，可以说国内CSO群体既有非常长的发展路径，同时也具有更加多姿多彩的场景选择、角色选择。

安在作为中国网络安全的专业新媒体，这些年一直在力图打造以甲方用户为基础并以人为本的带有媒体属性的专业服务体系。安在在运营甲方社群的同时，还会聚焦在更高的层面上，比如对CSO群体的培养，比如对CSO文化的宣传和推广。

而超级CSO年度评选正是为了推广中国CSO文化而举办，我们的初衷是为了树立起相对来讲可参照的一处标杆。由于安在一样是在起步阶段，还没有多好的范式，所以希望能够通过这些独立在各企业、各领域中的CSO们，通过他们各具特色的一些经验、一些特点，我们安在将他们评选出来、总结出来，同时给大家做一些重要的传播，方便之后的安全从业人员能够有好的学习榜样。

今年举办的2021年超级CSO评选是第一届，虽然在疫情之下几经波折，我们还是成功举办了，因此希望这是一个好的起点，希望以后每年都能如期而至。

从某种意义上而言，第一届超级CSO年度评选里获奖的这些CSO们，他们就像是埋在丰沃土壤里的种子，在网络安全的领域里，他们定然会发芽，会开花结果。所以我们期待，未来国内的CSO文化，包括其所代表的网络安全，这整个产业的发展都能够蔚然成风、福国利民。

推荐阅读

2021（首届）超级CSO年度评选颁奖盛典圆满举办