36氪專(zhuān)訪(fǎng)IDC中國研究副總裁鐘振山：國內CSO的職責需要持續被認知，深入理解業(yè)務(wù)是這一群體的最大挑戰

2021年對中國的安全行業(yè)而言是特殊的。

這一年《數據安全法》、《個(gè)人信息保護法》接踵而至，形成了以《網(wǎng)絡(luò )安全法》《數據安全法》和《個(gè)人信息保護法》為主的網(wǎng)絡(luò )空間治理和數據保護體系。而在更廣泛的層面，新發(fā)布的各類(lèi)細則條例更是多達數十項。眾所周知，安全行業(yè)一直以合規、需求為雙重驅動(dòng)力。在長(cháng)達一年的強合規驅動(dòng)下，不難想象，安全產(chǎn)業(yè)鏈上的各個(gè)角色均會(huì )受到影響。

在整個(gè)產(chǎn)業(yè)生態(tài)中，以CSO為代表的安全甲方是眼下最受關(guān)注的群體之一——當監管側發(fā)生重大變化，作為承擔企業(yè)安全建設的一號位，他們的行為走向成為了行業(yè)燈塔般的存在。

不過(guò)，一個(gè)戲劇化的現象是，至少在2021年之前，CSO這一職位幾乎不被圈外認知。甚至在安全重要性呈指數級提升的當下，如何在企業(yè)內部提升CSO重要性，也是個(gè)正在被探討的話(huà)題。

具體來(lái)說(shuō)，36氪不久前曾做過(guò)小范圍調研，發(fā)現不少人聽(tīng)聞CSO的第一反應是首席戰略官（Chief Strategy Officer），而非首席安全官（Chief Security Officer）。在具體數量上，曾有業(yè)內人士對36氪表示，當前行業(yè)內真正稱(chēng)得上C title、能夠進(jìn)入管理層的人數可能"兩只手數得出來(lái)"，對比之下，總監級別的安全負責人大約有數百人。

對于這種現象，IDC中國研究副總裁鐘振山認為，國內企業(yè)對安全部門(mén)的設置方式，體現出公司對安全的重視程度，同時(shí)也在一定范圍內影響了不少安全負責人成長(cháng)。而作為IDC新興技術(shù)研究及行業(yè)研究的負責人之一，他早期曾在企業(yè)擔任CIO，見(jiàn)證過(guò)一些安全負責人的工作方式。

在他的觀(guān)察中，"如果CSO或者安全部門(mén)總監不匯報給CIO，那么他們可能會(huì )有更獨立的網(wǎng)絡(luò )安全思考，能在這個(gè)方向為公司帶來(lái)更多價(jià)值。"原因不難理解，如果CSO或者安全總監能夠獨立帶領(lǐng)團隊，直接匯報給CEO，那么側面體現這個(gè)公司較為重視安全。反之，如果安全負責人只能匯報給CTO或者CIO，則很可能由于立場(chǎng)不同而導致彼此之間的不理解，最終影響安全工作的效果。

顯而易見(jiàn)，第一種情況是更適合安全負責人成長(cháng)的土壤，然而當前在現實(shí)情況中，匯報給CTO、CIO的安全負責人占據多數。"我們看到大部分安全負責人其實(shí)在匯報給CIO。"鐘振山也肯定此類(lèi)現象的存在。

這導致的結果是，不少安全負責人在企業(yè)內部不受重視，工作價(jià)值難以被他人直接看到，真正能從總監級別成為CSO的更是少之又少。

然而在鐘振山看來(lái)，這個(gè)問(wèn)題雖然復雜，但并非無(wú)解。他認為，CSO并不是一個(gè)技術(shù)崗位。這個(gè)崗位需要建立全局的認知，具備對外溝通能力，最重要的是要深入業(yè)務(wù)，將業(yè)務(wù)能力和安全能力融合，并在不影響業(yè)務(wù)的前提下，成功將安全融入、落地。這才是這一職位的價(jià)值，也是讓他人認可其業(yè)務(wù)能力的方法論。

另外，鐘振山還向36氪介紹，作為第三方中立機構的IDC也正在謀劃將自身對行業(yè)的觀(guān)察、以及收集到的落地案例和成功經(jīng)驗等分享給安全甲方們，希望在業(yè)務(wù)和個(gè)人提升上給他們提供參考。為此，IDC中國也將在近期舉辦“IDC 2022 CSO全球網(wǎng)絡(luò )安全峰會(huì )（中國站）”，希望以數據安全為切入點(diǎn)，介紹關(guān)于零信任、隱私計算、遠程訪(fǎng)問(wèn)和數據備份方面的內容，并評選出相關(guān)優(yōu)秀案例，讓安全負責人對數據安全技術(shù)的落地有所參考。

在籌備已近尾聲的當下，"說(shuō)實(shí)話(huà)從安全案例評選來(lái)看，現在整體案例和優(yōu)秀案例的數量都不算多。"鐘振山坦言。他表示，對比國外每年300以上的案例體量，國內目前還存在較大差距。這也證明當前國內的企業(yè)安全建設還有較大空間，安全負責人的能力進(jìn)階之路，也將是個(gè)長(cháng)期話(huà)題。

"大家需要思考，自己的安全工作到底為企業(yè)帶來(lái)了什么，能不能把它量化出來(lái)，能不能真正的理解網(wǎng)絡(luò )安全對于這家企業(yè)到底意味著(zhù)什么，這才是這個(gè)群體應該持續思考的方向。"鐘振山說(shuō)。

36氪：1986年IDC中國成立，我們是什么時(shí)候開(kāi)始關(guān)注到國內的安全行業(yè)？以及這些年你覺(jué)得國內的安全行業(yè)產(chǎn)生了怎樣的變化？

鐘振山：我們關(guān)注國內安全行業(yè)超出10年，國外大概也有四、五十年。整體來(lái)講，中國網(wǎng)絡(luò )安全市場(chǎng)還處在一個(gè)高速發(fā)展階段。IDC統計，2021年中國網(wǎng)絡(luò )安全市場(chǎng)規模在85億美金左右。如果按預期增速的話(huà)，我們預計到2025年中國的網(wǎng)絡(luò )安全市場(chǎng)規?？赡軙?huì )達到215億美元。這也說(shuō)明國內安全行業(yè)增速非?？?，五年的CAGR大概是20%左右。

但與此同時(shí)，我們必須意識到中國的網(wǎng)絡(luò )安全市場(chǎng)規模還是相對較小。尤其是跟美國相比，2020年美國的網(wǎng)絡(luò )安全市場(chǎng)大概在630億美金，全球規模是1360億美金。這里面的差距非常大，也就是說(shuō)雖然現階段由于政府政策的支持也好，企業(yè)對于網(wǎng)絡(luò )安全方面的重視程度也好，國內安全市場(chǎng)處在一個(gè)快速發(fā)展階段，但其實(shí)我們還有很長(cháng)的路要走，才能真正達到全球領(lǐng)先的水平。

36氪：根據你的觀(guān)察，國內外企業(yè)的安全投入具體存在著(zhù)怎樣的差別？

鐘振山：如果我們去看中國的頭部企業(yè)，無(wú)論是國企、央企，還是私企中的互聯(lián)網(wǎng)公司，它們對網(wǎng)絡(luò )安全方面的重視程度非常高。但如果看中小型企業(yè)，可能還停留在IT層面，這是一個(gè)長(cháng)尾市場(chǎng)。但如果我們真正想讓中國的網(wǎng)絡(luò )安全市場(chǎng)達到，或者接近于美國規模的話(huà)，其實(shí)中小型企業(yè)對于網(wǎng)絡(luò )安全方面的重視程度必須要提升起來(lái)。這個(gè)情況在美國是大不一樣的，我們可以看到，美國整體IT技術(shù)的普及程度就比中國高很多，也就是說(shuō)他們在網(wǎng)絡(luò )安全方面的重視程度要比中國企業(yè)高很多。

36氪：所以這個(gè)事情的解決方式還是得通過(guò)政策要求？

鐘振山：政策是一方面。其實(shí)我認為對于一個(gè)企業(yè)來(lái)講，政策的驅動(dòng)僅僅是最低的標準。但網(wǎng)絡(luò )安全真正落地，其實(shí)需要企業(yè)員工提升自身意識形態(tài)。企業(yè)員工如果對外界的網(wǎng)絡(luò )安全風(fēng)險沒(méi)有意識，那么他自己對公司內部的核心資產(chǎn)來(lái)說(shuō)本身就是威脅。所以除去技術(shù)方面的發(fā)展，我覺(jué)得對于企業(yè)自身的意識形態(tài)的提升是更加重要的。

36氪：這可能回到今天的主題，就是CSO或者安全總監要做這方面的工作。

鐘振山：對，沒(méi)錯。其實(shí)我們一開(kāi)始在籌辦這個(gè)會(huì )的時(shí)候，當時(shí)還在想國內是不是有那么多CSO。這個(gè)職業(yè)本身我覺(jué)得在國內還是相對比較新的，在一些大的外企可能相對普遍一些。當然，安全負責人在很多企業(yè)當中肯定是存在的，但是是否真的能把他提升到與CIO等同的地位，國內我不確定做得會(huì )像歐美企業(yè)那么的優(yōu)秀。

36氪：從現實(shí)情況看，現在國內真正的CSO確實(shí)是少的。你覺(jué)得安全總監和CSO的差別在于？

鐘振山：我給你舉個(gè)例子，在我以前任職的公司里面，CSO和IT是獨立的兩條線(xiàn)。所以我們公司是非常重視安全的，在做任何IT相關(guān)項目的時(shí)候，最終的項目審核有一步就是必須要滿(mǎn)足網(wǎng)絡(luò )安全方面的政策。也就是說(shuō)如果CSO或者是安全部門(mén)總監，不匯報給CIO，那么他們可能會(huì )有更獨立的網(wǎng)絡(luò )安全方面的思考，能在這個(gè)方向為公司帶來(lái)更多價(jià)值。

而如果反過(guò)來(lái)講，我們看現在國內其實(shí)大部分的安全負責人是匯報給CIO的，那么這里的中立性會(huì )相對弱一點(diǎn)，因為其實(shí)CIO們最終關(guān)心的是，我的項目可不可以落地，我可不可以在預期的項目周期內完成。CIO勢必會(huì )在某一些時(shí)候，會(huì )想說(shuō)我們可不可以先讓項目上馬，然后再去補安全的漏洞，這個(gè)其實(shí)我是看到過(guò)的。所以我覺(jué)得很多外企或者國際化的企業(yè)在這方面走得更加快一些。它們不光是安全部門(mén)，包括合規部門(mén)都獨立了出來(lái)，導致我們在做安全項目的時(shí)候必須要提前考慮到合規和安全方面的需求，這樣才能確保我們這個(gè)項目順利上馬。

36氪：其實(shí)國內真的能出現CSO這種C title的，多在互聯(lián)網(wǎng)和金融行業(yè)。但觀(guān)察下來(lái)，不少CSO或者類(lèi)似職位的人，最后都會(huì )比較希望讓安全成為一個(gè)可以對外服務(wù)的部門(mén)。

鐘振山：互聯(lián)網(wǎng)公司玩法不太一樣，因為互聯(lián)網(wǎng)公司本身是以業(yè)務(wù)為導向的，任何一個(gè)部門(mén)都是要對公司整體業(yè)務(wù)有貢獻才能提升存在的價(jià)值。但我個(gè)人其實(shí)不太認可這個(gè)現象，說(shuō)實(shí)話(huà)，像網(wǎng)絡(luò )安全或者合規部門(mén)，一旦和業(yè)務(wù)直接掛鉤，勢必會(huì )丟失一部分中立性，而網(wǎng)絡(luò )安全本身其實(shí)是對中立性要求非常高的一個(gè)職能，就是我不可以對任何事情有任何的讓步，這是網(wǎng)絡(luò )安全的一個(gè)最高的境界。但是如果說(shuō)安全和業(yè)務(wù)直接掛鉤，勢必就會(huì )在某些情況下存在一定的矛盾。因為業(yè)務(wù)可能需要更快的運轉，在某些方面去走一些捷徑，但是網(wǎng)絡(luò )安全其實(shí)是沒(méi)有捷徑可走的。所以對于大型的企業(yè)，我不認為網(wǎng)絡(luò )安全可以成為業(yè)務(wù)部門(mén)。它必須是一個(gè)對內的職能，這樣才能確保它有足夠的中立性，把整體網(wǎng)絡(luò )安全的能力建設好。

36氪：這樣看下來(lái)可能就只有一條路，不停告訴老板我的價(jià)值。

鐘振山：這個(gè)可能是真的?；氐轿乙婚_(kāi)始講的，中國的網(wǎng)絡(luò )安全發(fā)展下一步，最大的任務(wù)是提升公司內部或整體的網(wǎng)絡(luò )安全意識。我相信現在沒(méi)有一家公司可以回到紙質(zhì)辦公的時(shí)代，但一旦我們受到了網(wǎng)絡(luò )攻擊，可能真的要回到那個(gè)時(shí)代，沒(méi)有任何電子設備可以去使用。另外，大家同時(shí)還要意識到不只是電腦，包括智能手機、平板，很多物聯(lián)網(wǎng)的設備都可能成為網(wǎng)絡(luò )攻擊的對象，所以每個(gè)人的網(wǎng)絡(luò )安全的意識形態(tài)必須要提升起來(lái)，才能真正把我們自身企業(yè)的核心資產(chǎn)保護起來(lái)。

36氪：關(guān)于提升價(jià)值這件事，現在會(huì )有一些比較合適的方式嗎？

鐘振山：比如計算投資回報率。舉個(gè)例子，我來(lái)IDC之前是做CIO的，當時(shí)我們這家公司有一個(gè)周末網(wǎng)站受到了攻擊，導致整個(gè)周末沒(méi)辦法使用。當時(shí)我們計算了一下這對于業(yè)務(wù)直接的損失是300萬(wàn)人民幣，是一個(gè)非常直觀(guān)的投資回報數字。這個(gè)再加上我們一開(kāi)始的投入以及后面的業(yè)務(wù)投入，有一套相對比較專(zhuān)業(yè)的財務(wù)計算公式可以計算ROI整體的結果。

這是IT項目管理里面的相對比較常見(jiàn)的一個(gè)方法，隨著(zhù)我們在IT項目管理上的不斷成熟，這種ROI的計算會(huì )越來(lái)越多。我們的業(yè)務(wù)老大們，當我們去找他們要預算的時(shí)候，他不僅滿(mǎn)足于說(shuō)現在網(wǎng)絡(luò )安全市場(chǎng)里有非常多潛在的風(fēng)險，他們可能更感興趣的是說(shuō)，我投了這么多錢(qián)之后，能給我的業(yè)務(wù)帶來(lái)多大效益。網(wǎng)絡(luò )安全部門(mén)本身是一個(gè)純投入的部門(mén)，其實(shí)沒(méi)有辦法給企業(yè)帶來(lái)直接業(yè)務(wù)上的提升，但其實(shí)我們可以看到，很多企業(yè)在遭受到網(wǎng)絡(luò )安全攻擊的時(shí)候，業(yè)務(wù)的損失是非常大的，這些必須要計算到整個(gè)投資回報率里。

36氪：有的CSO或者安全總監不僅會(huì )算投入產(chǎn)出比，還會(huì )告訴老板，他個(gè)人可能需要承擔的法律風(fēng)險。

鐘振山：這個(gè)確實(shí)是，無(wú)論是國內還是國外，其實(shí)都有相關(guān)的法律法規。包括美國，不久之前我剛看到美國的股票監管機構正在考慮把網(wǎng)絡(luò )安全負責人作為公司董事會(huì )的一員。那么在國內，比如金融行業(yè)會(huì )要求公司的一把手是網(wǎng)絡(luò )安全的直接負責人，所以是有這方面的風(fēng)險，當然具體怎么執行下去不太一定。不過(guò)，這確實(shí)是我們公司的老大們需要承擔的責任之一。但如果說(shuō)真正要純量化的話(huà)，可能還是需要從一個(gè)業(yè)務(wù)可避免的損失方面入手。

36氪：還有一些實(shí)操的問(wèn)題，比如說(shuō)數據安全法出來(lái)之后，有些安全負責人覺(jué)得沒(méi)有更具體的規范，所以不知道配套措施應該怎樣搭建。

鐘振山：CIO先不說(shuō)，CSO如果真的這么想，我覺(jué)得他不是一個(gè)合格的CSO。剛才講到，其實(shí)法律法規的出現僅是為企業(yè)提供最低標準，也就是說(shuō)你必須要做到這些，但其實(shí)我們知道的是，在網(wǎng)絡(luò )安全這個(gè)行業(yè)，我們需要防范未知的東西，你永遠不知道網(wǎng)絡(luò )攻擊會(huì )在什么時(shí)候出現，會(huì )以哪種方式出現。而且，黑客的技術(shù)總是比我們強很多。

其實(shí)也就意味著(zhù)，我們的企業(yè)必須要搭建一整套的網(wǎng)絡(luò )安全的能力，才能防患于未然。這個(gè)其實(shí)是對每個(gè)CSO的最基本要求，而不是說(shuō)法律讓我干什么我就干什么，這不是一個(gè)稱(chēng)職的CSO應該說(shuō)的話(huà)。

36氪：這里面稍微要分一下類(lèi)，因為不同企業(yè)對安全的重視程度真的不一樣。但如果這個(gè)企業(yè)本身對安全的重視程度還不錯，你覺(jué)得這種環(huán)境中，安全負責人應該具備怎樣的能力？

鐘振山：我不認為安全負責人或者CSO是一個(gè)技術(shù)的工作，我也不認為CIO是一個(gè)技術(shù)的工作，因為企業(yè)招一個(gè)CSO不是讓他去搭防火墻的。真正CSO要做的事情，第一點(diǎn)是真正有一個(gè)整體的、體系化的規劃，知道企業(yè)內部需要具備一個(gè)什么樣的安全的能力。但是，這個(gè)能力必須要和企業(yè)自身的業(yè)務(wù)掛鉤，因為各個(gè)企業(yè)自身的業(yè)務(wù)特點(diǎn)不同，可能需要的安全能力并不一樣，所以說(shuō)CSO最大的挑戰，包括其實(shí)對于CIO也一樣，最大的挑戰是必須要懂業(yè)務(wù)，他是需要面對業(yè)務(wù)的，而不是把自己關(guān)在一個(gè)小黑屋里面做自己的事情，那樣的話(huà)其實(shí)沒(méi)有太大幫助。

當時(shí)我在做CIO的時(shí)候，做得最多的事情是和業(yè)務(wù)部門(mén)聊。到門(mén)店里面，到各個(gè)業(yè)務(wù)部門(mén)里面看他們每天在做什么，只有這樣做，你才能真正理解他們的一些上網(wǎng)的行為或者操作的行為，才能夠真正打造一套有效的安全防護體系，在不影響員工正常工作的情況下，對企業(yè)進(jìn)行保護。這才是我認為一個(gè)CSO應該具備的最大的能力。

36氪：現在這樣做的安全負責人多嗎？

鐘振山：我覺(jué)得并不多。因為其實(shí)我看到的包括CSO在內的安全負責人大多數人都是技術(shù)出身，可能從一個(gè)廠(chǎng)商的安全開(kāi)發(fā)者慢慢做到經(jīng)理，然后進(jìn)到企業(yè)擔任安全負責人的職位。這條路的優(yōu)勢在于，他們對整體安全的技術(shù)非常了解，包括對安全的生態(tài)也非常了解，里面的玩家都是誰(shuí)，每一個(gè)玩家的優(yōu)劣勢是什么，都耳熟能詳。但是這類(lèi)群體的弱點(diǎn)是，因為是做技術(shù)出身，通常溝通能力沒(méi)有那么強，如果是這樣，他們如何把安全在企業(yè)內部的地位，提升到CEO應該重視的程度或者是每一位員工都有足夠安全意識的程度，會(huì )遇到一些挑戰。

36氪：會(huì )表達和懂業(yè)務(wù)，有沒(méi)有孰輕孰重的關(guān)系？

鐘振山：會(huì )表達不是說(shuō)他能夠看臉色，而是需要表達自己的想法。在企業(yè)內部擔任任何IT的職位，這都是一個(gè)非常重要的技能。首先能夠把想法說(shuō)出來(lái)，第二把業(yè)務(wù)的需求轉化成技術(shù)的需求，二者缺一不可。因為我們其實(shí)和業(yè)務(wù)部門(mén)去談系統也好，網(wǎng)絡(luò )也好，還是任何一個(gè)IT相關(guān)的事情也好，業(yè)務(wù)都是不懂的。他們只會(huì )告訴你，我需要每天能打20個(gè)電話(huà)，或者說(shuō)我的下載速度需要多快。但其實(shí)在背后，我們需要考慮說(shuō)他打20個(gè)電話(huà)對于我的帶寬影響是什么，添加一個(gè)座機等于是添加了一個(gè)入口，這對于整個(gè)網(wǎng)絡(luò )安全整體架構的影響是什么，這些其實(shí)需要有一個(gè)思維的轉化。在理解業(yè)務(wù)需求之后，怎樣把它變成一個(gè)技術(shù)解決方案，這個(gè)無(wú)論是對于CIO還是CSO來(lái)講都是必備的能力。不能純從技術(shù)的角度去考慮事情，給業(yè)務(wù)說(shuō)因為這會(huì )影響IT架構，所以這個(gè)事情就是做不到。這樣的CSO，在企業(yè)內部是生存不下去的。

36氪：在案例獎項的評選里，我們的標準是什么？

鐘振山：其實(shí)里面有幾個(gè)標準，比如說(shuō)你的項目投入有多大，投資回報率是什么，里面涉及到的用戶(hù)是什么，最終產(chǎn)生的業(yè)務(wù)的價(jià)值是什么。我們之所以這么去設定標準，主要是覺(jué)得如果一個(gè)CSO想不清楚這些問(wèn)題，其實(shí)這個(gè)項目本身就做不好。因為這個(gè)人可能根本就不明白網(wǎng)絡(luò )安全對于一個(gè)企業(yè)自身的價(jià)值是什么。這次評選是希望能夠通過(guò)這些打分機制，真正把優(yōu)秀項目篩選出來(lái)，讓大家去參考。所以我們真正推送出來(lái)的這20個(gè)項目，肯定是在這方面做的非常優(yōu)秀的。

36氪：現在有沒(méi)有看到相對好一些的安全案例？

鐘振山：有，我們計劃評出二十個(gè)優(yōu)秀案例。但我們是有一個(gè)原則的，如果找不出20個(gè)符合標準的，那就不評20個(gè)了，就做15個(gè)，甚至10個(gè)，這個(gè)標準肯定不會(huì )因為案例的數量而去逐漸改變。但是現在看下來(lái)的話(huà)，其實(shí)優(yōu)秀的案例是有，但是從普及率看，可能真的沒(méi)有像一些發(fā)達國家那么高。真正好的安全的項目，真的不多。我問(wèn)過(guò)一些CIO有沒(méi)有好的項目推薦，大家想了一圈，真的沒(méi)有。其實(shí)這個(gè)從側面也體現出國內現在整體網(wǎng)絡(luò )安全方面的一個(gè)大體的水平。

對比之下，當時(shí)看我們全球評選的時(shí)候，里面有非常多優(yōu)秀的案例，每年我們會(huì )收到超過(guò)300多個(gè)案例。那么今年在國內，因為第一年辦，大概是收到了50多個(gè)，數量上面其實(shí)還可以。但是真正去看里邊的細節的話(huà)，我們發(fā)現很多人真的說(shuō)不出來(lái)這個(gè)項目對企業(yè)而言到底帶來(lái)什么樣的價(jià)值。

比如說(shuō)我上了一套態(tài)勢感知的系統，為什么上？大家不太知道。真正去問(wèn)大家，這個(gè)項目能夠為企業(yè)規避多少潛在的風(fēng)險？不少人真的沒(méi)有想過(guò)。那么在這些方面，我們也是希望通過(guò)這次大會(huì )給大家一些建議和思路。大家在做網(wǎng)絡(luò )安全的項目的時(shí)候，可能真的需要去為企業(yè)，從企業(yè)的角度去想，或者從業(yè)務(wù)的角度去想我為什么要做這個(gè)項目。比如上一個(gè)SSO的系統，那可能會(huì )影響到上萬(wàn)人，十幾萬(wàn)的員工。大家都認為這個(gè)東西很麻煩，但是為什么要做這些項目，大家到底明白不明白？我們的CSO們有沒(méi)有真的把這件事情跟所有員工講明白？它所帶來(lái)的效益和效果到底是什么？大家有沒(méi)有真的去想過(guò)。這個(gè)才是我們這次這個(gè)評選想要做的一件事情，就是真正把案例在業(yè)務(wù)方面的正面影響體現出來(lái)。

36氪：可能有兩個(gè)原因導致了這個(gè)情況。首先是企業(yè)對安全重視度不高，另外是安全負責人對工作沒(méi)有體現出結果。那么從現在的趨勢來(lái)看，你覺(jué)得既懂業(yè)務(wù)，又會(huì )輸出的安全負責人數有增多的趨勢嗎？

鐘振山：我希望會(huì )。其實(shí)我們看到過(guò)一些例子，如果是一個(gè)技術(shù)屬性非常強的安全負責人，他最終可能不再去想自己應該如何搭建一套優(yōu)秀的網(wǎng)絡(luò )安全的防護體系，就僅滿(mǎn)足最低的網(wǎng)絡(luò )安全法的要求就行。這不是個(gè)例，很多的安全負責人可能都會(huì )這么想。導致這種現象的一個(gè)原因是他們在企業(yè)內部不被理解，因為安全從業(yè)務(wù)角度來(lái)看是一個(gè)麻煩的事情。比如說(shuō)大家會(huì )質(zhì)疑，我的密碼為什么不能12345678，我憑什么上一個(gè)系統就要去輸一遍用戶(hù)名密碼。所以，安全負責人會(huì )覺(jué)得他們在企業(yè)內部不被理解，會(huì )覺(jué)得委屈。

面對這種情況，人會(huì )有兩種反應，一是嘗試去改變，這可能是一個(gè)優(yōu)秀的安全負責人會(huì )做的事情。另外一方面，大家就覺(jué)得，OK，你既然不想要這個(gè)那我就不做了，我把最低的標準做好就可以。這樣大家也不會(huì )來(lái)煩我，或者說(shuō)不會(huì )在背后說(shuō)我的壞話(huà)。

但很多人不能意識到的是，如果所有的安全負責人都在做這件事，那么企業(yè)的潛在安全風(fēng)險是非常大的，企業(yè)其實(shí)最終是受損失的。安全負責人需要讓大家去明白，為什么我們要做這些事情，對業(yè)務(wù)本身和企業(yè)本身帶來(lái)的價(jià)值是什么，這個(gè)就需要很強的溝通的能力。

不過(guò)總體來(lái)看，CSO的重要性確實(shí)是在持續提升的。IDC近日發(fā)布的《2022年V1全球網(wǎng)絡(luò )安全支出指南》預測，在2021-2025的五年內，中國網(wǎng)絡(luò )安全市場(chǎng)將以20.5%的年復合增長(cháng)率高速發(fā)展，增速位列全球第一。所以，CSO作為企業(yè)網(wǎng)絡(luò )安全的總負責人，肩負著(zhù)企業(yè)全局網(wǎng)絡(luò )安全的重任。因此，提升網(wǎng)絡(luò )安全部門(mén)的級別、提高CSO自身的戰略洞察力，對企業(yè)網(wǎng)絡(luò )安全戰略的實(shí)施至關(guān)重要。我們也希望看到更多的CSO在時(shí)代大勢之下，取得更好的成就。

【獎項事宜聯(lián)系人】

Helen Hao

電話(huà)：13681581916（微信同號）

郵箱：yhao@idc.com

【安全大會(huì )活動(dòng)項目經(jīng)理】

Jacky Wan

郵箱：jwan@idc.com

【銷(xiāo)售客戶(hù)經(jīng)理】

Nadine Dong

郵箱：ndong@idc.com

更多咨詢(xún)，請聯(lián)系：

王勇，IDC中國 助理副總裁

電話(huà)：(+86-10) 5889 1588

電郵：fwang@idc.com

劉曉婷，IDC中國 客戶(hù)支持代表

電話(huà)：(+86-10) 5889 1536

電郵：yvliu@idc.com

謝靜，IDC中國 市場(chǎng)部

電話(huà)：(+86-10) 5889 1558

電郵：mxie@idc.com

掃描微信二維碼，關(guān)注IDC 研究成果，掌握ICT市場(chǎng)脈搏