查看原文
其他

发布 | 安在新榜 · 2023企业网络安全CSO发展调查报告

安在 安在 2022-12-07







CSO,即Chief Security Officer,意为首席安全官或首席安全信息官,主管一个机构内部的网络安全事务。这一关键性职务目前在欧美国家的大型政企机构中已经普遍设置,并且具有较高的内部权力。同时,这一职务在国内也正在得到越来越多的认可与重视。


为了深入了解国内大型政企机构网络安全建设现状,了解中国各大政企机构首席安全官的工作环境,“安在新榜”对不同行业政企机构的首席安全官或安全负责人进行了一次深入的调研,并形成此份研究报告。

考虑到国内很多政企机构的网络安全主管人员并不一定会被任命为首席安全官,或相关岗位有其他名称,所以,本次调研所针对的对象并不严格限定为CSO或首席安全官,而包括首席安全官、首席信息官(CIO)、网络安全主管、网络安全分管领导、网络安全主要负责人等。被调研人员一定为该机构网络安全工作的主管领导或主要负责人,但不一定是专职领导或负责人。

本次调研共收集到来自不同行业政企机构的调研问卷2093份,其中CSO相关岗位的反馈1318份。主要来自工业/制造、金融、政府、教育、互联网、医疗、交通/物流、IT服务、贸易、建筑/地产等行业。

通过调研,我们获得了以下主要发现,使我们对当前CSO群体的发展状态,有了更深入的了解。

职业素质

CSO作为一个群体,个性特征及工作风格的许多方面都惊人的相似。如果单纯将CSO视为技术管理人员,那么CSO所共有的6大特质中,90%的CSO具备能承受压力的特质;84%能够忍受冲突;81%会基于目标而非情绪与同事共处;78%的CSO习惯于着眼于全局;76%的CSO擅长汇报沟通;75%的CSO勇于主导推进工作。

CSO最需具备的5大能力分别是应急能力:擅长对突发事件的应对和处理;规划能力:整合既有资源规划方案解决新风险的能力;情报能力:能够有多种渠道快速准确的获取内外部威胁变化的能力;宣传能力:通过意识教育、知识传播等行动获得组织内最多人对安全工作的理解和支持;沟通能力:准确有效的向上级传达安全价值,与其他部门协作完成业务目标能力。

岗位级别

从企业内的职位来看,6.68%的CSO是董事;13.58%的CSO属于副总裁职位;16.54%的CSO属于总监级别;而总监以下级别占63.20%;从政府及事业单位来看,仅有2.41%的CSO行政级别能够达到副局级;15.87%的CSO行政级别达到处级;23.12%的CSO的行政级别达到副处级。

企业CSO向上的汇报对象,向董事长直接汇报的占比8.64%;向CEO或总经理直接汇报的占比12.23%;向副总裁或VP汇报的占比15.84%;向CIO或CTO汇报的占比为30.59%;向内控部门汇报的占比19.12%;向审计部门汇报的占比13.58%;

在汇报频次上,47%的CSO每季度向董事会汇报一次,35%的CSO每半年汇报一次,12%的CSO每年汇报一次,只有6%的CSO可以每月和董事会沟通;对上级管理层的报告中,每季度报告的CSO占比33%,每月汇报的占比33%,每月几次的占比22%,每个一个月的占比11%;

薪资水平

过半的CSO年收入在50万以下,50至80万的占比15.63%,80至200万的占比22.22%,200至500万的占比7.43%,500万以上的占比较少;在各类型企业中,外资企业CSO收入相对较高;CSO基本对目前的收入感到满意,对未来薪资的涨幅也保持乐观。

调查显示,微信好友数量很大程度上可以反映出个人的社交圈以及在职场的活跃度。网络安全从业者平均人脉数量随着职级的升高而显著增长。越社交、越成功,人脉可以帮助CSO快速获得行业情报、技术资源、专家支持等。

内部管理情况

CSO下属专职数量为5至8人的情况占比最高为17.98%;其次为8至10人16.84%和3至5人15.78%;

除了专职人员团队,不少CSO还通过外包安全服务来补充团队人员不足的问题,调查显示,23%CSO采购了运营&托管服务;40%的CSO主要依赖外部服务商提供安全能力,26%的CSO选择了少数的外部服务,仅有11%的CSO不采购安全服务,只凭借内部专职团队来开展安全工作。

大多数CSO都反馈即使在现有的内外部团队下,网络安全能力仍显短缺的情况。他们很难雇用具有更广泛能力(包括组织和技术技能)的高级人员。一些CSO反馈,有可能找到特定技术领域的合格人员,但很难找到在技术和运营领域都具有专业知识的高级通才。

未来趋势

CSO对未来两年内最关注的领域是数据交易和共享和数据合规使用方面;同时,未来两年会吸引CSO增加预算的新领域在数据治理和隐私计算方向,这表明数据安全已成为各CSO最关注的领域。

作为一个新兴的群体,首席安全官的培养与成长显然不会一蹴而就,对于许多组织而言,去年对疫情的应对措施凸显出CSO及其团队的巨大努力。这些组织在短短几周或几个月内,就转向零信任运营模式,这是非常了不起的成就。如今,技术职能在持续业务成功和业务相关性方面发挥着更为关键的作用。我们发现自己处于一个不断升级的循环之中:技术分布于企业的每个角落,组织的身份越来越以技术为中心。未来的企业的蓬勃发展需要成熟的CSO职能协作。

报告已上传诸子云知识星球,欢迎下载~


往期推荐



发布 | 安在新榜 · 2022中国网络安全产品用户调查报告


END





齐心抗疫 与你同在 



点【在看】的人最好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存