36氪專訪IDC中國研究副總裁鍾振山：國內CSO的職責需要持續被認知，深入理解業務是這一群體的最大挑戰

2021年對中國的安全行業而言是特殊的。

這一年《資料安全法》、《個人資訊保護法》接踵而至，形成了以《網路安全法》《資料安全法》和《個人資訊保護法》為主的網路空間治理和資料保護體系。而在更廣泛的層面，新發布的各類細則條例更是多達數十項。眾所周知，安全行業一直以合規、需求為雙重驅動力。在長達一年的強合規驅動下，不難想象，安全產業鏈上的各個角色均會受到影響。

在整個產業生態中，以CSO為代表的安全甲方是眼下最受關注的群體之一——當監管側發生重大變化，作為承擔企業安全建設的一號位，他們的行為走向成為了行業燈塔般的存在。

不過，一個戲劇化的現象是，至少在2021年之前，CSO這一職位幾乎不被圈外認知。甚至在安全重要性呈指數級提升的當下，如何在企業內部提升CSO重要性，也是個正在被探討的話題。

具體來說，36氪不久前曾做過小範圍調研，發現不少人聽聞CSO的第一反應是首席戰略官（Chief Strategy Officer），而非首席安全官（Chief Security Officer）。在具體數量上，曾有業內人士對36氪表示，當前行業內真正稱得上C title、能夠進入管理層的人數可能"兩隻手數得出來"，對比之下，總監級別的安全負責人大約有數百人。

對於這種現象，IDC中國研究副總裁鍾振山認為，國內企業對安全部門的設定方式，體現出公司對安全的重視程度，同時也在一定範圍內影響了不少安全負責人成長。而作為IDC新興技術研究及行業研究的負責人之一，他早期曾在企業擔任CIO，見證過一些安全負責人的工作方式。

在他的觀察中，"如果CSO或者安全部門總監不彙報給CIO，那麼他們可能會有更獨立的網路安全思考，能在這個方向為公司帶來更多價值。"原因不難理解，如果CSO或者安全總監能夠獨立帶領團隊，直接彙報給CEO，那麼側面體現這個公司較為重視安全。反之，如果安全負責人只能彙報給CTO或者CIO，則很可能由於立場不同而導致彼此之間的不理解，最終影響安全工作的效果。

顯而易見，第一種情況是更適合安全負責人成長的土壤，然而當前在現實情況中，彙報給CTO、CIO的安全負責人佔據多數。"我們看到大部分安全負責人其實在彙報給CIO。"鍾振山也肯定此類現象的存在。

這導致的結果是，不少安全負責人在企業內部不受重視，工作價值難以被他人直接看到，真正能從總監級別成為CSO的更是少之又少。

然而在鍾振山看來，這個問題雖然複雜，但並非無解。他認為，CSO並不是一個技術崗位。這個崗位需要建立全域性的認知，具備對外溝通能力，最重要的是要深入業務，將業務能力和安全能力融合，並在不影響業務的前提下，成功將安全融入、落地。這才是這一職位的價值，也是讓他人認可其業務能力的方法論。

另外，鍾振山還向36氪介紹，作為第三方中立機構的IDC也正在謀劃將自身對行業的觀察、以及收集到的落地案例和成功經驗等分享給安全甲方們，希望在業務和個人提升上給他們提供參考。為此，IDC中國也將在近期舉辦“IDC 2022 CSO全球網路安全峰會（中國站）”，希望以資料安全為切入點，介紹關於零信任、隱私計算、遠端訪問和資料備份方面的內容，並評選出相關優秀案例，讓安全負責人對資料安全技術的落地有所參考。

在籌備已近尾聲的當下，"說實話從安全案例評選來看，現在整體案例和優秀案例的數量都不算多。"鍾振山坦言。他表示，對比國外每年300以上的案例體量，國內目前還存在較大差距。這也證明當前國內的企業安全建設還有較大空間，安全負責人的能力進階之路，也將是個長期話題。

"大家需要思考，自己的安全工作到底為企業帶來了什麼，能不能把它量化出來，能不能真正的理解網路安全對於這家企業到底意味著什麼，這才是這個群體應該持續思考的方向。"鍾振山說。

中國企業對安全的重視程度仍需提高，

CSO的職責需要被認知

36氪：1986年IDC中國成立，我們是什麼時候開始關注到國內的安全行業？以及這些年你覺得國內的安全行業產生了怎樣的變化？

鍾振山：我們關注國內安全行業超出10年，國外大概也有四、五十年。整體來講，中國網路安全市場還處在一個高速發展階段。IDC統計，2021年中國網路安全市場規模在85億美金左右。如果按預期增速的話，我們預計到2025年中國的網路安全市場規模可能會達到215億美元。這也說明國內安全行業增速非常快，五年的CAGR大概是20%左右。

但與此同時，我們必須意識到中國的網路安全市場規模還是相對較小。尤其是跟美國相比，2020年美國的網路安全市場大概在630億美金，全球規模是1360億美金。這裡面的差距非常大，也就是說雖然現階段由於政府政策的支援也好，企業對於網路安全方面的重視程度也好，國內安全市場處在一個快速發展階段，但其實我們還有很長的路要走，才能真正達到全球領先的水平。

36氪：根據你的觀察，國內外企業的安全投入具體存在著怎樣的差別？

鍾振山：如果我們去看中國的頭部企業，無論是國企、央企，還是私企中的網際網路公司，它們對網路安全方面的重視程度非常高。但如果看中小型企業，可能還停留在IT層面，這是一個長尾市場。但如果我們真正想讓中國的網路安全市場達到，或者接近於美國規模的話，其實中小型企業對於網路安全方面的重視程度必須要提升起來。這個情況在美國是大不一樣的，我們可以看到，美國整體IT技術的普及程度就比中國高很多，也就是說他們在網路安全方面的重視程度要比中國企業高很多。

 

36氪：所以這個事情的解決方式還是得透過政策要求？

鍾振山：政策是一方面。其實我認為對於一個企業來講，政策的驅動僅僅是最低的標準。但網路安全真正落地，其實需要企業員工提升自身意識形態。企業員工如果對外界的網路安全風險沒有意識，那麼他自己對公司內部的核心資產來說本身就是威脅。所以除去技術方面的發展，我覺得對於企業自身的意識形態的提升是更加重要的。

36氪：這可能回到今天的主題，就是CSO或者安全總監要做這方面的工作。

鍾振山：對，沒錯。其實我們一開始在籌辦這個會的時候，當時還在想國內是不是有那麼多CSO。這個職業本身我覺得在國內還是相對比較新的，在一些大的外企可能相對普遍一些。當然，安全負責人在很多企業當中肯定是存在的，但是是否真的能把他提升到與CIO等同的地位，國內我不確定做得會像歐美企業那麼的優秀。

36氪：從現實情況看，現在國內真正的CSO確實是少的。你覺得安全總監和CSO的差別在於？

鍾振山：我給你舉個例子，在我以前任職的公司裡面，CSO和IT是獨立的兩條線。所以我們公司是非常重視安全的，在做任何IT相關專案的時候，最終的專案稽核有一步就是必須要滿足網路安全方面的政策。也就是說如果CSO或者是安全部門總監，不彙報給CIO，那麼他們可能會有更獨立的網路安全方面的思考，能在這個方向為公司帶來更多價值。

而如果反過來講，我們看現在國內其實大部分的安全負責人是彙報給CIO的，那麼這裡的中立性會相對弱一點，因為其實CIO們最終關心的是，我的專案可不可以落地，我可不可以在預期的專案週期內完成。CIO勢必會在某一些時候，會想說我們可不可以先讓專案上馬，然後再去補安全的漏洞，這個其實我是看到過的。所以我覺得很多外企或者國際化的企業在這方面走得更加快一些。它們不光是安全部門，包括合規部門都獨立了出來，導致我們在做安全專案的時候必須要提前考慮到合規和安全方面的需求，這樣才能確保我們這個專案順利上馬。

36氪：其實國內真的能出現CSO這種C title的，多在網際網路和金融行業。但觀察下來，不少CSO或者類似職位的人，最後都會比較希望讓安全成為一個可以對外服務的部門。

鍾振山：網際網路公司玩法不太一樣，因為網際網路公司本身是以業務為導向的，任何一個部門都是要對公司整體業務有貢獻才能提升存在的價值。但我個人其實不太認可這個現象，說實話，像網路安全或者合規部門，一旦和業務直接掛鉤，勢必會丟失一部分中立性，而網路安全本身其實是對中立性要求非常高的一個職能，就是我不可以對任何事情有任何的讓步，這是網路安全的一個最高的境界。但是如果說安全和業務直接掛鉤，勢必就會在某些情況下存在一定的矛盾。因為業務可能需要更快的運轉，在某些方面去走一些捷徑，但是網路安全其實是沒有捷徑可走的。所以對於大型的企業，我不認為網路安全可以成為業務部門。它必須是一個對內的職能，這樣才能確保它有足夠的中立性，把整體網路安全的能力建設好。

36氪：這樣看下來可能就只有一條路，不停告訴老闆我的價值。

鍾振山：這個可能是真的。回到我一開始講的，中國的網路安全發展下一步，最大的任務是提升公司內部或整體的網路安全意識。我相信現在沒有一家公司可以回到紙質辦公的時代，但一旦我們受到了網路攻擊，可能真的要回到那個時代，沒有任何電子裝置可以去使用。另外，大家同時還要意識到不只是電腦，包括智慧手機、平板，很多物聯網的裝置都可能成為網路攻擊的物件，所以每個人的網路安全的意識形態必須要提升起來，才能真正把我們自身企業的核心資產保護起來。

深入理解業務，是安全負責人最大的挑戰

36氪：關於提升價值這件事，現在會有一些比較合適的方式嗎？

鍾振山：比如計算投資回報率。舉個例子，我來IDC之前是做CIO的，當時我們這家公司有一個週末網站受到了攻擊，導致整個週末沒辦法使用。當時我們計算了一下這對於業務直接的損失是300萬人民幣，是一個非常直觀的投資回報數字。這個再加上我們一開始的投入以及後面的業務投入，有一套相對比較專業的財務計算公式可以計算ROI整體的結果。

這是IT專案管理裡面的相對比較常見的一個方法，隨著我們在IT專案管理上的不斷成熟，這種ROI的計算會越來越多。我們的業務老大們，當我們去找他們要預算的時候，他不僅滿足於說現在網路安全市場裡有非常多潛在的風險，他們可能更感興趣的是說，我投了這麼多錢之後，能給我的業務帶來多大效益。網路安全部門本身是一個純投入的部門，其實沒有辦法給企業帶來直接業務上的提升，但其實我們可以看到，很多企業在遭受到網路安全攻擊的時候，業務的損失是非常大的，這些必須要計算到整個投資回報率裡。

36氪：有的CSO或者安全總監不僅會算投入產出比，還會告訴老闆，他個人可能需要承擔的法律風險。

鍾振山：這個確實是，無論是國內還是國外，其實都有相關的法律法規。包括美國，不久之前我剛看到美國的股票監管機構正在考慮把網路安全負責人作為公司董事會的一員。那麼在國內，比如金融行業會要求公司的一把手是網路安全的直接負責人，所以是有這方面的風險，當然具體怎麼執行下去不太一定。不過，這確實是我們公司的老大們需要承擔的責任之一。但如果說真正要純量化的話，可能還是需要從一個業務可避免的損失方面入手。

36氪：還有一些實操的問題，比如說資料安全法出來之後，有些安全負責人覺得沒有更具體的規範，所以不知道配套措施應該怎樣搭建。

鍾振山：CIO先不說，CSO如果真的這麼想，我覺得他不是一個合格的CSO。剛才講到，其實法律法規的出現僅是為企業提供最低標準，也就是說你必須要做到這些，但其實我們知道的是，在網路安全這個行業，我們需要防範未知的東西，你永遠不知道網路攻擊會在什麼時候出現，會以哪種方式出現。而且，駭客的技術總是比我們強很多。

其實也就意味著，我們的企業必須要搭建一整套的網路安全的能力，才能防患於未然。這個其實是對每個CSO的最基本要求，而不是說法律讓我幹什麼我就幹什麼，這不是一個稱職的CSO應該說的話。

36氪：這裡面稍微要分一下類，因為不同企業對安全的重視程度真的不一樣。但如果這個企業本身對安全的重視程度還不錯，你覺得這種環境中，安全負責人應該具備怎樣的能力？

鍾振山：我不認為安全負責人或者CSO是一個技術的工作，我也不認為CIO是一個技術的工作，因為企業招一個CSO不是讓他去搭防火牆的。真正CSO要做的事情，第一點是真正有一個整體的、體系化的規劃，知道企業內部需要具備一個什麼樣的安全的能力。但是，這個能力必須要和企業自身的業務掛鉤，因為各個企業自身的業務特點不同，可能需要的安全能力並不一樣，所以說CSO最大的挑戰，包括其實對於CIO也一樣，最大的挑戰是必須要懂業務，他是需要面對業務的，而不是把自己關在一個小黑屋裡面做自己的事情，那樣的話其實沒有太大幫助。

當時我在做CIO的時候，做得最多的事情是和業務部門聊。到門店裡面，到各個業務部門裡面看他們每天在做什麼，只有這樣做，你才能真正理解他們的一些上網的行為或者操作的行為，才能夠真正打造一套有效的安全防護體系，在不影響員工正常工作的情況下，對企業進行保護。這才是我認為一個CSO應該具備的最大的能力。

36氪：現在這樣做的安全負責人多嗎？

鍾振山：我覺得並不多。因為其實我看到的包括CSO在內的安全負責人大多數人都是技術出身，可能從一個廠商的安全開發者慢慢做到經理，然後進到企業擔任安全負責人的職位。這條路的優勢在於，他們對整體安全的技術非常瞭解，包括對安全的生態也非常瞭解，裡面的玩家都是誰，每一個玩家的優劣勢是什麼，都耳熟能詳。但是這類群體的弱點是，因為是做技術出身，通常溝通能力沒有那麼強，如果是這樣，他們如何把安全在企業內部的地位，提升到CEO應該重視的程度或者是每一位員工都有足夠安全意識的程度，會遇到一些挑戰。

36氪：會表達和懂業務，有沒有孰輕孰重的關係？

鍾振山：會表達不是說他能夠看臉色，而是需要表達自己的想法。在企業內部擔任任何IT的職位，這都是一個非常重要的技能。首先能夠把想法說出來，第二把業務的需求轉化成技術的需求，二者缺一不可。因為我們其實和業務部門去談系統也好，網路也好，還是任何一個IT相關的事情也好，業務都是不懂的。他們只會告訴你，我需要每天能打20個電話，或者說我的下載速度需要多快。但其實在背後，我們需要考慮說他打20個電話對於我的頻寬影響是什麼，新增一個座機等於是新增了一個入口，這對於整個網路安全整體架構的影響是什麼，這些其實需要有一個思維的轉化。在理解業務需求之後，怎樣把它變成一個技術解決方案，這個無論是對於CIO還是CSO來講都是必備的能力。不能純從技術的角度去考慮事情，給業務說因為這會影響IT架構，所以這個事情就是做不到。這樣的CSO，在企業內部是生存不下去的。

量化工作價值，理解安全對於企業的意義，

是CSO應該持續思考的方向

36氪：在案例獎項的評選裡，我們的標準是什麼？

鍾振山：其實裡面有幾個標準，比如說你的專案投入有多大，投資回報率是什麼，裡面涉及到的使用者是什麼，最終產生的業務的價值是什麼。我們之所以這麼去設定標準，主要是覺得如果一個CSO想不清楚這些問題，其實這個專案本身就做不好。因為這個人可能根本就不明白網路安全對於一個企業自身的價值是什麼。這次評選是希望能夠透過這些打分機制，真正把優秀專案篩選出來，讓大家去參考。所以我們真正推送出來的這20個專案，肯定是在這方面做的非常優秀的。

36氪：現在有沒有看到相對好一些的安全案例？

鍾振山：有，我們計劃評出二十個優秀案例。但我們是有一個原則的，如果找不出20個符合標準的，那就不評20個了，就做15個，甚至10個，這個標準肯定不會因為案例的數量而去逐漸改變。但是現在看下來的話，其實優秀的案例是有，但是從普及率看，可能真的沒有像一些已開發國家那麼高。真正好的安全的專案，真的不多。我問過一些CIO有沒有好的專案推薦，大家想了一圈，真的沒有。其實這個從側面也體現出國內現在整體網路安全方面的一個大體的水平。

對比之下，當時看我們全球評選的時候，裡面有非常多優秀的案例，每年我們會收到超過300多個案例。那麼今年在國內，因為第一年辦，大概是收到了50多個，數量上面其實還可以。但是真正去看裡邊的細節的話，我們發現很多人真的說不出來這個專案對企業而言到底帶來什麼樣的價值。

比如說我上了一套態勢感知的系統，為什麼上？大家不太知道。真正去問大家，這個專案能夠為企業規避多少潛在的風險？不少人真的沒有想過。那麼在這些方面，我們也是希望透過這次大會給大家一些建議和思路。大家在做網路安全的專案的時候，可能真的需要去為企業，從企業的角度去想，或者從業務的角度去想我為什麼要做這個專案。比如上一個SSO的系統，那可能會影響到上萬人，十幾萬的員工。大家都認為這個東西很麻煩，但是為什麼要做這些專案，大家到底明白不明白？我們的CSO們有沒有真的把這件事情跟所有員工講明白？它所帶來的效益和效果到底是什麼？大家有沒有真的去想過。這個才是我們這次這個評選想要做的一件事情，就是真正把案例在業務方面的正面影響體現出來。

36氪：可能有兩個原因導致了這個情況。首先是企業對安全重視度不高，另外是安全負責人對工作沒有體現出結果。那麼從現在的趨勢來看，你覺得既懂業務，又會輸出的安全負責人數有增多的趨勢嗎？

鍾振山：我希望會。其實我們看到過一些例子，如果是一個技術屬性非常強的安全負責人，他最終可能不再去想自己應該如何搭建一套優秀的網路安全的防護體系，就僅滿足最低的網路安全法的要求就行。這不是個例，很多的安全負責人可能都會這麼想。導致這種現象的一個原因是他們在企業內部不被理解，因為安全從業務角度來看是一個麻煩的事情。比如說大家會質疑，我的密碼為什麼不能12345678，我憑什麼上一個系統就要去輸一遍使用者名稱密碼。所以，安全負責人會覺得他們在企業內部不被理解，會覺得委屈。

面對這種情況，人會有兩種反應，一是嘗試去改變，這可能是一個優秀的安全負責人會做的事情。另外一方面，大家就覺得，OK，你既然不想要這個那我就不做了，我把最低的標準做好就可以。這樣大家也不會來煩我，或者說不會在背後說我的壞話。

但很多人不能意識到的是，如果所有的安全負責人都在做這件事，那麼企業的潛在安全風險是非常大的，企業其實最終是受損失的。安全負責人需要讓大家去明白，為什麼我們要做這些事情，對業務本身和企業本身帶來的價值是什麼，這個就需要很強的溝通的能力。

總體而言，安全負責人在企業的環境裡想更多體現自身的價值無可厚非。畢竟大家都在企業內部任職，肯定希望有更多的話語權和地位。但話語權需要透過正確的方式，真正把自身的價值體現出來，這才是對的道路。也就是回到一開始說的，CSO或者安全負責人到底為企業帶來了什麼，你能不能把它量化出來，能不能真正的去理解網路安全對於這家企業到底意味著什麼，這才是這個群體應該持續思考的方向。

不過總體來看，CSO的重要性確實是在持續提升的。IDC近日釋出的《2022年V1全球網路安全支出指南》預測，在2021-2025的五年內，中國網路安全市場將以20.5%的年複合增長率高速發展，增速位列全球第一。所以，CSO作為企業網路安全的總負責人，肩負著企業全域性網路安全的重任。因此，提升網路安全部門的級別、提高CSO自身的戰略洞察力，對企業網路安全戰略的實施至關重要。我們也希望看到更多的CSO在時代大勢之下，取得更好的成就。

活動預告

今年將在上海舉辦的 “IDC 2022 CSO全球網路安全峰會（中國站）——聚力資料安全，賦能企業現代化”上，資料保護與容災備份作為四大分論壇之一，屆時將面向技術專家、行業使用者以及技術供應商進一步解讀國家資料安全要求以及行業使用者的資料合規重要性、分析資料備份與保護痛點，同時與大家針對資料備份與恢復技術發展進行討論。論壇關鍵詞：資料全生命週期保護、業務永續、資料安全、等保2.0、資料複製與保護、雙活資料中心。

全球網路安全盛會“2022全球CSO網路安全峰會（中國站）——聚力資料安全，賦能企業現代化”首次落地中國，將於近期在上海拉開帷幕。屆時，IDC將正式釋出最新安全產業洞察《IDC TechScape: 中國資料安全技術發展路線圖，2022》，同時為“中國20大傑出安全專案” 和“中國CSO名人堂（十大人物）”的獲獎者頒獎。除主論壇之外，大會還設定了資料安全、資料隱私與資料合規、軟體定義安全訪問、資料保護與容災備份四大分論壇， 解惑網路安全各細分領域的行業熱點與洞見。