《2023企业网络安全CSO发展调查报告》显示，预计到2027年，CSO岗位缺口高达42万。同时，报告还调查了CSO各方面的特质和能力，比如90%的CSO在承受压力的特质上特别突出，而几乎所有CSO都认为应急能力是最必要的。此外，CSO的薪资、社交、职业焦虑等都在报告上有详细的解释。那么当下的CSO在业内到底是怎样的生存情况？报告上的数据到底有无直击人心？为此本期直播《CSO职业生存大调查》专门围绕CSO的生存环境为诸位解惑答疑。

安在特邀三一集团信息安全负责人孟翔巍、网络安全行业资深猎头Nancy、集贤科技信息安全负责人焦小博、某金融科技公司高级安全专家李磊等行业资深业者，齐聚线上直播分享。本次直播由安在新媒体合伙人、安在新榜出品人张威主持。

李磊表示，CSO是个舶来词，Chief Security Officer，国外可能会在中间多加一个Information。1995年，花旗银行（现为花旗集团）聘请了史蒂夫卡茨（Steve Katz），由其负责相关的安全事务。此前，这家银行曾遭到黑客攻击。黑客闯入该银行的现金管理系统，从系统中抽走一千万美元到自己的账户上。之后，花旗银行雇用了卡茨。其，算是世界上第一位CISO。

刚开始，CSO关注更多的是技术上的安全，即保证企业不受安全攻击。随着这多年的发展，关于CSO或CISO的定义和定位在不断地丰富。但由于每家企业的特点都不同，所以各CSO在企业里承担的功能和角色实际上也有很大区别。所以，确实比较难以定义到底什么是CSO。

然而，虽然CSO在个人心里、在各公司里的定义并不一样，但从它的背景来看，首先安全职责肯定是第一位的，CSO肯定是企业的安全一号位。其次，CSO也承担着企业从安全价值落地的角度去消除企业业务安全风险的策略目标。最后，结合国内实际，CSO可能还会承担合规、隐私等事项。

其对内更多扮演着建立桥梁的角色，无论是在技术侧、业务侧，还是安全的管控策略策；对外则更多地会帮助企业建立安全信誉。这是李磊结合国内外总结出来的CSO所具备的几个特点和特性。

Nancy从猎头的角度指出，CSO从广义上来看就是企业安全部门的负责人，title一般为CSO、CISO或者安全总监等。从招聘侧来看，为企业招CSO时会以人为中心，也就是说如果谁的综合素质足够强，比如其在某几个子的安全方向做得很扎实，知识面又足够广，且软性素质也都不错的情况下，那就意味着这人完全能够胜任CSO岗位。所以在Nancy眼中，CSO是一个综合能力很强的角色，她表示，当下招聘市场对CSO角色还是比较认同的，近一两年CSO的岗位明显增多了，这也和政策方面的驱动有一定关系。

焦小博指出，安全跟业务的关系，类似于高速路或盘山路的护栏。当企业高速发展的时候，可以将发展的风险控制到“可接受”的程度。

CSO在企业发展的过程中，起到了及时在企业发展的道路上高效建设“风险边界护栏”的作用。一旦业务发展到一定规模必然会需要CSO。

为什么会出现这种情况？取决于两方面原因，一是政策驱动，随着国家对网络安全的重视，个人信息保护法、网络安全法等相继推出，相关法律对经营者会有一定的要求;另一方面是业务驱动，随着企业发展必然会遇到各种内外安全风险以及法律法规方面更多的约束。

至于谁更需要CSO，焦小博认为业务快速增长的公司、准备上市和已上市的公司会更需要CSO。前者需要CSO来规划和规避业务增长带来的合规、隐私和安全风险，后者需要CSO来做好企业的安全领袖来阻挡安全问题引发的上市风险和品牌风险。

焦小博表示，从习总书记在2014年发表的“没有网络安全就没有国家安全”讲话后，明显感觉到整个业界趋势对安全已重视起来，随着个人信息保护法、数据安全法等众多法规的发布，国家级攻防演练的举行，网络安全已经越发被重视起来。许多的安全培训机构也都应运而生，因此安全在未来的发展趋势一定会越来越好。

焦小博认为，对于小企业来说，其内运维部门和IT部门很多时候就是负责安全的，所以小企业一般没有专门负责安全的部门，也没有CSO这个岗位，但是安全负责人这个岗位肯定是有的。CSO岗位的诞生需要企业具备至少要在百人左右的规模，并且业务成熟度比较高，在这种情况下企业会面临各种安全和合规风险。没有CSO的情况下，将严重影响业务拓展。

孟翔巍表示，对国企来说，会从相关部门孵化出安全负责人，而不是空降安全负责人。而私企则不同，由于其所面临的竞争压力，不单是其内的安全负责人，包括其他各个技术层面的岗位都会选择从行业里招来他人空降。这是国企和私企在选人机制上的不同。

而CSO的诞生并不都因为合规，还有安全事件的爆发也会促使企业需要CSO。一般企业会在安全事件爆发后，于其内运维侧孵化一个较小的安全团队，然后此安全团队会从运维逐步剥离，成为IT体系下的一个子部门或二级部门，并和其他部门做连接，拉动上下游做整体的合规，即安全管理、安全运营、安全技术，建设出整体的安全体系。

孟翔巍的回答是“有”，并表示此圈子最大的特点是地域性。目前CSO的圈子基本上集中在一线城市，特别是北上广，而且北京和深圳里的CSO圈子文化更为浓烈。在准一线、二线城市里，圈子文化相对偏弱。

另一方面，安全界里的行业交流一般会隐藏在本地的数字化组织里，这些数字化组织不一定每次就只讨论安全业，他们可能会讨论智能制造，讨论数字化转型过程中每个阶段的经验，然后当话题周期切到安全业的时候，他们才会邀请相关的安全专家一起探讨。

李磊表示，CSO所具备的能力有不同的侧重，不可能所有能力都非常强，CSO也会有自己的短板。在金融业，应急能力，帮助企业从安全角度进行战略落地的能力，包括沟通能力、宣传能力等都比较重要。

对大企业来说，《2023企业网络安全CSO发展调查报告》所例举的十条能力里，可能满足五条以上才能胜任岗位，而对小企业而言，可能只需要满足三项，因此不同企业对CSO所需的能力要求也不同。

另一方面，李磊认为，从CSO角度看待自己需要具备怎样的能力和对企业而言CSO需要具备怎样的能力，这两个维度是不一样的。站在企业角度，CSO需要有组织战略思维的能力，并能站在老板的角度去解决安全风险，否则其他能力再齐备，不能解决安全问题也是白搭。

再者就是呈现安全价值的能力，从企业的角度肯定希望CSO的到来能给企业安全上带来变化，这也等同于CSO需要把安全故事说好，对内让老板有感知，对外让市场对企业安全有感知，形成好的品牌效应。

李磊指出，CIO更关注于企业内部的IT技术是怎么运作的，也就是更偏运营。而CTO更多关注的是技术本身，CTO要保证组织内部技术的优势。在海外，CSO、CTO、CIO多数是三足鼎立的情况，而在国内则是互相融合的状态。

孟翔巍表示，只有少部分走在前端的这种To C的公司，会把CSO单独拎出来作为一个分支，其余大部分的CSO都会在CIO的下面，因此所谓CSO、CTO、CIO三足鼎立的情况，在国内近几年的环境下难以出现。

这是由于数字化转型阶段，其最大的特点是需要在IT的层面上建立流程和领域，这就意味着CIO的地位必然会高，CIO需要把所有IT资源进行整合，而大家普遍认为安全属于IT中的一个领域，所以安全会联通IT一起被CIO整合。

而CTO的定位也很高，他代表了整个公司的核心价值输出点。所以，三足鼎立不是CSO该关注的终点，而是要关注于如何一起努力，真正把CSO的价值点像CIO和CTO那样呈现出来，这样CSO才有和CIO、CTO形成三足鼎立之势。

孟翔巍认为“CIO、CTO帮助老板赚钱而CSO反过来监督他们”的局面是有可能出现的，这源于近年来数据安全成为了热门，许多大型组织里甚至出现了CDO（首席数据官）的岗位，此岗位可与CTO负责的研发并列，这其实对CSO来说算是一定的曙光。

焦小博认为，CSO的薪资和CSO在整个企业中的价值息息相关，如果在企业中CSO只能解决安全问题，而没有更多的思考。那他的年薪可能就会在80万以下;如果CSO在整个公司中不仅能解决安全问题还能主导公司战略。这就相当于可以帮助团队选好赛道，并且跑赢其他选手。那么他的年薪会有一个质的飞越，比较多的在80万到300万之间，也可能会高。

焦小博表示，行业里的天花板，年薪会在500万以上，通常两百万以上的年薪已经算比较高的了。从我们国家政策发展来看，后续安全在整个行业中的价值占会比越来越大，CSO的薪资也会持续增长。

Nancy提出，在她的经验里，百万年薪的CSO算是比较常见的。另一方面，Nancy认为安全从业人员是比较容易找的，这个基数还是蛮大的，但比较稀缺的是人才。通常企业会关心应聘者的跳槽频率，因为CSO是比较高阶的岗位，企业一定需要其稳定性，其次，由于每个平台之间的信息安全成熟度不一样，一些只经历过救火阶段的安全负责人肯定难以带领百人以上的安全团队。

再者，由于行业和行业之间的跨度问题，每家公司对CSO所需的技能就会不一样，比如传统安全更重视基础安全、终端安全、防泄密，而互联网企业所关注的内容就比较多，他们会更重视攻防、内容、对抗、数据安全等，这也使得CSO并不好招。而且安全圈子比较小，更封闭，更容易闭环。

孟翔巍表示，人脉对安全工作的影响是比较大的。首先，安全工作需要一定的行业前沿，需要知道什么业内相关的事物正在被逐步淘汰，而什么又开始在逐渐演化了，只有拿这些内容来匹配企业的安全成熟度，才能决定后面的建设路径。因此，这些信息仅靠自己或仅靠一个小群体是不可能获得的，所以需要社区，需要相关的人脉。

其次，有了人脉圈子，圈子里相关的朋友们都会散落在不同的公司，而每个公司的成熟度不一样，这样就可以拿一些成熟度较高的安全体系做为标杆，看自己还有哪里不足；另外，就是当安全从业人员想从原公司退出时，人脉可以帮助他们物色到更好的去处。

李磊同样认为，人脉可以帮助安全从业人员得到更加专业、更加前沿、更加真实有效的信息。

其次，在搭建团队的过程中，在招人的过程中，人脉也能迅速地帮助我们招到相匹配、相合适的人；此外，当遇到一些不同的诉求时，人脉能够快速的帮助我们匹配到合适的产品或能力。

最后，彼此可以学习和分享自己的观点和理念，学他人之长。安全圈，有不少圈子的闭环，守望相助，行业才能发展更好。

焦小博表示，安全团队若拥有5到8人的话，企业已算是有一定的规模了，因为一般企业在安全上投入比例大概为5%到10%左右，拥有5到8人的安全团队，说明企业规模在一百多人。

至于团队怎么分配，焦小博认为这和企业的成长是正比的。一般企业的第一阶段可能是被动式救火，第二阶段是主动发现风险、应对风险。当前安全团队在5人以下的时候，以解决问题为主，应该把控主要风险，适当投放人力去做总结和沉淀。积累经验提升解决问题的效率并为第二阶段做准备;当安全团队能达到5至8人时，基本可以处于第二阶段。在这个阶段，应当分配更多的人员去主动发现风险，可以做不同方向的人员划分、比如安全运维、应急人员、渗透测试以及后台开发等。利用工具去提升效率和收敛风险。比例更大就可以投入人员建设SOC，SOAR、数据分析等，建立完整的安全运营体系，全面收敛安全风险了。

李磊认为，在安全界，职位越高压力越大。比如国外，CSO可能需要直接向CEO汇报。因此对个人的能力要求、专业要求，以及各方面的综合素质要求都会越来越高，但如果能达到这些要求，通过安全做到企业的高级管理岗位也是有可能的。

李磊表示，安全从业者职业发展到一定阶段会存在有职业瓶颈，所以可以看到越来越多的行业大佬创业的情况。比如到底是做管理好还是做管理+技术更好，因为到一定的程度和阶段，人的精力有限。但李磊还是觉得，要保持对技术的敏感度，持续学习。

在一个企业、在一个行业能否待得久，能否待得顺，最重要的点在于现在做的工作或存在的企业环境，有无给你带来足够大的职业挑战，好使你一直突破自己的瓶颈，学习更多的知识，这是关键。

对于整个CSO的未来，李磊表示可从两方面来看。第一叫做机遇挑战并存，现如今看国家内外，对安全都非常重视，这就是机遇所在，而且此机遇不单只针对于高学历和专业对口，其他各行各业的人都能参与进来。

挑战方面，其实各行各业都需要一个成长路径，这就需要安全从业人员耐下心，在每段的经历里都不断克服，让自己有所提升，虽然过程会很痛苦，但相信结果一定会是可以的。

另一方面，孟翔巍表示，虽然制造业要比金融业、互联网企业慢几拍，但大家都有了觉醒的趋势，可以看到许多人已经从堆设备时代开始思考安全运营的问题了，包括过去“一个人的信息安全”也已经变成了“好几个人的信息安全”，这都显明了安全趋势在各行各业里的变化。

在流水线工控方面，孟翔巍表示很难管，这源于大部分企业并没有将OT走向IoT，缺的就是这个I，Internet。因此现在整个工控领域面对的几乎都是OT安全，OT安全有几大特点，首先是封闭，它和外界的交流较少；其次工控设备如同多米诺骨牌，只要推倒一块就全完蛋了；第三个特点，是工控方的相关人员相对来说比较难沟通，他们很多时候只关心自己的产能。但无论如何，工控行业是一大前景。

焦小博表示，IoT行业和传统行业的区别是比较大的，因为传统行业更关注的是业务自身安全，主要体现在系统和应用层。但是IoT不一样。IoT安全体现在端、传输和云三个方面。侧重的不仅仅是业务安全还有产品和使用安全。

业务安全仅仅是IoT系统安全的一个重要组成部分。IoT侧重万物互联。IoT产品和通信的多样性也带来了很多的安全挑战。比如设备资源的碎片化，很多芯片缺乏安全机制，导致终端安全体系缺乏可信根；比如通信种类的繁多，ble、wifi、zigbee等。协议的差异性带给安全不小的挑战；再比如操作系统的差异化，IoT嵌入式系统的资源有限，内核和处理功能极差，DDOS攻击对它来说是致命的。因此要做好IoT安全需要平衡好端、通信和云之间的关系。

Nancy表示，CSO的前景肯定是OK的，在国家重视安全的前提下，必定会推动企业去重视安全，那在企业也重视安全的情况下，业务也肯定会重视安全，所以从现在这个趋势来看，未来的安全岗位会越来越多的，这就给足了大家一个信心，可以朝这个方向去发展。

另一方面，Nancy建议安全从业人员除了要拥有扎实的技术能力外，还要有良好的综合素质，包括知识面要广，还要具备信息安全整体规划的能力，部门管理能力以及技术落地的能力。

问题一：企业是事件驱动还是风险驱动？

孟翔巍：事件驱动和体系驱动（风险驱动）在安全建设中不同阶段的占比是不一样的，在安全建设初期，肯定大部分时候都是用事件去驱动的，安全团队呈现较多的会是一个救火状态。

随着企业安全成熟度的发展，救火的方式会逐渐变成体系化的建设，比如完善安全的领域，组建人才梯队，引进各类安全工具，甚至会把中台和前台做出来。此时更多就会是体系驱动（风险驱动）了，即自己能识别风险，把风险标准化，再通过结合流程工具的方式把它们闭环。因此，事件驱动的比例会有所下降，但也绝对不可能完全避免。

问题二：学历不高，专业不对口，如何做CSO？

焦小博：学历不高做小企业的CSO问题并不大，因为小企业所需要处理的安全事件和学历并无太大关系。而若要在大公司里做CSO，能力方面可能有所欠缺，因为公司有了一定的规模后，所需要的技术不仅仅是传统安全技术，更会涉及到一些新兴领域。比如机器学习、数据分析等领域，此时如果没有足够的学历就会很难把控全局。因此专业不对口完全可以去胜任CSO，只要有心、有毅力。

问题三：信息安全专员和公司全员或IT人员的比例该控制在多少？

李磊：企业较小的情况下，应用安全人员和开发的比例大概在3%到5%左右。如果企业比较大，整体的安全可能会包含应用安全、数据安全、基础网络安全，因此比例可以上浮，占整体企业人员的比例应该在百分之几，占IT比例大概在5%到10%左右。

问题四：国企、私企、外企，CSO在哪类企业会更好？

焦小博：若三家企业待遇差不多，去外企会更好。因为在国企所接触到的面基本上都是传统安全和制度方面，个人的成长空间会非常小。私企的业务发展可能不完善，也就意味着无论你做什么，需要付出的部分会更多。