gcp研究者职责，cto和技术总监区别

2021年对于中国安防行业来说是特殊的一年。

今年，《数据安全法》、《个人信息保护法》相继出台，形成了以《网络安全法》、《数据安全法》、《个人信息保护法》为基础的网络空间治理和数据保护体系。从更广泛的层面来看，还有一些新发布的规则和规定。众所周知，安全行业始终是由合规和需求驱动的。不难想象，一年强劲的合规驱动将影响安全产业链中的每个角色。

在整个行业生态系统中，以公民社会组织为代表的安全利益相关者是当今最引人注目的群体之一。行业灯塔。

然而，一个戏剧性的现象是，至少在2021 年之前，CSO 职位很大程度上不为外界所知。即使在今天，随着安全的重要性急剧增加，关于如何提高公司内部CSO 的重要性仍存在争议。

36氪前段时间做了一个小调查，发现大多数人一听到CSO，第一反应不是首席安全官，而是首席战略官。）谈到具体数字，一位业内人士曾对36氪表示，“在现在的行业里，真正能坐上C位、坐上管理职位的人两只手都可以数得过来。”有数百名正级安全官员。

对于这一现象，IDC中国研究副总裁钟振山表示，国内企业安全部门的设置方式体现了企业对安全的重视，也在一定程度上影响了很多安全领军人物的成长。会给它。作为IDC 新兴技术和行业研究领域的领导者之一，他曾在一家早期公司担任CIO，亲眼目睹了一些安全领导者的工作方式。

在他看来，“如果CSO或者安全负责人不向CIO汇报，他们可能会对网络安全有更独立的思考方式，并且能够在这个方向上为公司带来更多价值。”不难看出为什么？如果CSO或安全总监能够独立领导一个团队，并直接向CEO汇报，就会体现出公司对安全的重视程度更高。”反之，如果安全人员只向CTO或CIO汇报，那么差异就更大了。位置不当可能会导致缺乏相互理解，最终影响安全行动的有效性。

显然，第一种情况更适合安全领导者的成长，但目前的现实是，大多数安全领导者向CTO和CIO汇报。 “我们发现大多数安全领导实际上都是向CIO汇报，钟镇山也承认这种现象的存在。

结果，很多安全领导者在内部被贬值，他们的工作价值不太能被其他人直接认可，能够真正从总监级别成为CSO 的人就更少了。

不过，在钟振山看来，问题虽然复杂，但并非不可克服。

他认为，担任CSO 并不是一项技术工作。这个职位需要有整体的理解和与他人沟通的能力，但最重要的是能够深入业务，在不影响业务的情况下整合业务和安全能力，是正确地集成和实施安全。这就是公民社会组织的价值，也是让其他人了解其业务能力的方法。

另外，钟镇山告诉36氪，IDC作为第三方中立机构，将自己对行业的观察以及收集到的实施案例和成功案例分享给安全社区，希望能够改进，我介绍说是。为业务和个人改进提供参考资料。为了实现这一目标，IDC中国也希望在不久的将来举办“IDC 2022 CSO全球网络安全峰会（中国站）”，从数据安全入手，引入零信任、私有计算、远程思考等内容。关于。访问和数据备份。选择相关的最佳实践，为安全领导者提供有关实施数据安全技术的信息。

准备工作已经接近尾声，但从选择安全案例的角度来看，整体案例和好案例的数量确实不多。钟振山坦言：

他说，中国的感染人数与海外每年有300多起病例存在很大差异。这证明国内企业的安全还有很大的提升空间，而提升安全领导者能力的路径也将是一个长期课题。

“大家需要思考安全工作给公司带来什么，能不能量化，能不能真正理解网络安全对公司意味着什么。这是这个小组持续思考的问题，是正确的做法。”方向。钟振山说道。

钟振山，IDC中国研究副总裁

以下为部分采访内容（36氪编辑，未改变原意）。

中国企业仍需更加关注安全，认识CSO的责任36氪：IDC中国成立于1986年。另外，您认为这几年国内安防行业发生了哪些变化？

钟振山先生：我们公司关注国内安防行业已有10多年，海外也有大约40到50年的历史。总体来看，中国网络安全市场仍处于快速发展阶段。据IDC统计，预计2021年中国网络安全市场规模约为85亿美元。如果继续按预期增长，我们预计到2025 年中国网络安全市场规模将达到215 亿美元。这也表明该国的安防产业发展非常迅速，五年复合增长率在20%左右。

但同时也必须看到，中国的网络安全市场还比较小。特别是与美国相比，2020 年美国网络安全市场价值约为630 亿美元，而全球网络安全市场价值为1360 亿美元。这个差距是非常大的，虽然国内安全市场由于政府政策的支持和企业对网络安全的重视而迅速发展，但实际上还处于发展阶段。距离真正达到世界领先水平，我们还有很长的路要走。

36氪：根据您的观察，国内外企业在证券投资方面具体有哪些差异？

钟镇山：看看中国各大企业，无论是国企、央企，还是民营互联网企业，他们都非常重视网络安全。但如果你看中小企业，他们可能还停留在IT层面，这是一个长尾市场。但如果真想让中国的网络安全市场达到或接近美国的规模，中小企业其实需要更加关注网络安全。美国的情况则截然不同，美国的IT技术整体比中国普及得多，美国企业对网络安全的重视也比中国企业严重得多。

36氪：那么，解决这个问题还需要政策要求吗？

钟振山先生：政策是一方面。其实我觉得政策推动只是企业的一个最低标准。然而，在实践中落实网络安全，实际上需要企业员工自身精神素质的提升。如果公司员工没有意识到外部网络的安全风险，他们本身就会成为公司核心资产的威胁。因此，除了技术发展之外，我们认为完善公司自身的理念更为重要。

36氪：也许回到今天的话题，CSO或者安全总监需要做这件事。

钟振山：是的，没错。事实上，当我们第一次组织这个会议时，我们就想知道中国是否有那么多民间社会组织。我觉得这个职业本身在国内还是比较新的，但是在国外的一些大公司可能比较普遍。当然，很多公司都有安全负责人，但与在中国的西方公司相比，我不知道他们是否能真正晋升到相当于CIO的职位。

36氪：从现实来看，中国真正的公民社会组织确实很少。您认为安全总监和CSO 之间有什么区别？

钟振山：比如我以前工作的公司，CSO和IT是两个独立的部门。因此，我们非常重视安全，当我们承接IT相关项目时，满足网络安全策略是项目最终审核的一个步骤。换句话说，如果CSO或安全总监不向CIO汇报，他们可能对网络安全有更独立的思考方式，能够在这个方向上为公司带来更多价值。

反过来看，我们发现中国大多数安全领导实际上都向CIO 汇报。因此，这里的中立性是比较弱的。事实上，CIO最终关心的是我的项目是否合适。能否在计划的项目周期内完成？有时，每个CIO都想知道是否可以先启动一个项目，然后再修复安全漏洞。我以前见过这个动作。所以我认为很多外国公司和国际公司在这方面进展得更快，不仅使他们的安全部门独立，而且使他们的合规部门独立。因此，在开展安全项目时，必须提前考虑合规性和安全需求，以确保顺利启动。

36氪：其实中国有C级的CSO，大部分是在互联网和金融行业。但如果你仔细观察，就会发现许多CSO 和类似职位的人员最终都希望安全成为一个可以为外部各方提供服务的部门。

钟振山：互联网公司的做法是不一样的。这是因为互联网公司本身就是以业务为导向的，每个部门都需要为公司的整体业务做出贡献，才能增加价值。不过，我个人不太认同这种现象。说实话，如果网络安全部门或者合规部门直接和业务挂钩的话，必然会失去中立性，而网络安全本身其实就是一个需要非常高中立性的功能，你无法影响它。我们承认这是网络安全的最高级别。然而，当安全和业务直接联系在一起时，某些冲突是不可避免的。企业要跑得更快，就需要在某些方面走一些捷径，但事实是，网络安全是没有捷径的。所以我认为网络安全永远不会成为大公司的业务范围。它必须是一个内部功能，以确保足够的中立性并构建整体网络安全功能。

36氪：乍一看，可能只有一个办法。这一切都是为了告诉你的老板你的价值。

钟振山：可能是这样。回到我一开始所说的，中国网络安全发展下一步就是要提高公司内部和整体的网络安全意识。我认为任何公司都不可能回到纸质办公的时代，但是一旦你的网络受到攻击，你可能真的要回到不能使用电子设备的时代了。此外，大家应该意识到，不仅是电脑，智能手机、平板电脑等很多物联网设备都可能成为网络攻击的目标，为了真正保护自己，每个人对于网络安全的心态都应该有所不同，需要提高。企业受到保护。

对业务的深刻理解是安全领导者面临的最大挑战36氪：还有比现在更好的驱动价值的方式吗？

钟振山：比如计算一下投资回报率。例如，在来IDC之前，我担任CIO，有一个周末我们的网站遭到攻击，整个周末都无法访问。当时给企业造成的直接损失按300万元计算，这是一个非常直观的投资回报数字。有一个相对专业的财务公式可以让您计算将初始投资与后续业务投资相结合时的总体投资回报率（ROI）。

这是IT项目管理中比较常见的做法，并且随着IT项目管理的不断成熟，将会进行更多的ROI计算。当我们去询问预算时，我们的管理团队不仅仅满足于说“网络安全市场存在很多潜在的风险。”也许你还想说更多，因为你投入了钱。我能做什么？这对我的生意会有很大的好处。虽然网络安全部门本身是一个纯粹的投资部门，并没有办法直接改善一个公司的运营，但很显然，如果很多公司真的遭受网络安全攻击，那么业务损失将是巨大的。这些应计算为总体投资回报。

36氪：一些民间组织和安全人员不仅计算投入产出比，还会向上级传达自己可能要个人承担的法律风险。

钟振山：是的，国内外其实都有相关的法律法规。我们最近看到，包括在美国，美国股权监管机构正在考虑任命一名网络安全主管作为公司董事会成员。那么比如说在中国的金融行业，要求一个公司的最高领导层直接负责网络安全，所以这方面是有风险的，但是当然具体怎么实施还不确定。但这当然是我们老板应该承担的责任之一。但如果你真的想纯粹定量，你可能仍然需要从业务中可避免的损失开始。

36氪：还有一些实际问题。例如，《数据安全法》颁布后，一些安全负责人不知道如何制定支持措施，因为他们觉得没有更具体的规定。

钟镇山先生：CIO我们不说，但是如果CSO真的这么认为的话，我觉得他没有资格当CSO。正如我前面提到的，法律法规的出台只是给企业设定了必须达到的最低标准，但现实中，在网络安全行业，还有很多未知数，我们知道我们需要防范。您永远不知道网络攻击何时或如何发生。而且，黑客的技术总是比我们强很多。

实际上，这意味着企业需要构建一套完整的网络安全功能，以防患于未然。这实际上是对所有公民社会组织最基本的要求，而不是一个有能力的公民社会组织应该说他们会做法律要求他们做的一切。

36氪：不同的公司有不同的安全重点，所以需要划分不同的类别。但如果公司本身关心安全，您认为安全人员在那种环境下需要什么能力？

钟振山：我不认为安全经理或者CSO是技术性工作。我也不认为CIO是一个技术性的工作。因为公司不会聘请公民社会组织来构建防火墙。 CSO 需要做的第一件事是制定整体、系统的计划，以了解公司需要哪些安全能力。然而，每个公司都有不同的业务特点，需要不同的安全功能，因此这个功能必须与您的业务绑定。因此，对于包括CIO在内的CSO来说，最大的挑战是了解业务。他需要面对生意，而不是被关在一个小黑屋子里做他的事情。

当我担任CIO时，我最常见的事情就是与业务部门聊天。只有走进商店和业务单位，看看他们日常的工作，才能真正了解一些对公司防护产生影响的线上和销售行为，才能真正创建有效的安全防护体系。而员工们却照常工作。我认为这是一个CSO应该具备的最大能力。

36氪：现在很多安全领导都在这样做吗？

钟振山：我觉得不是很多。事实上，我看到的大多数安全领导者，包括首席安全官，都来自技术背景，可能是从制造商的安全开发人员一路晋升到经理，然后加入公司担任安全领导者的。是的。这条路径的好处是我们对整个安全技术，包括安全生态有很好的了解，我们知道参与者是谁，每个参与者的优势和劣势是什么。然而，这类群体的弱点在于，由于他们来自技术背景，他们的沟通能力通常不是很强。如果是这样，如何才能将公司的安全状况改善到CEO们应该重视的程度呢？如果您有足够的安全意识，您将面临一些挑战。

36氪：能够表达自己、理解业务重要吗？

钟镇山：能表达自己并不意味着你能读懂表情，而是你需要表达你的想法。对于公司内的任何IT 职位来说，这是一项非常重要的技能。首先，能够表达自己的想法，其次能够将业务需求转化为技术需求，这两点都很重要。因为即使你真的向业务部门咨询系统、网络、IT相关的事情，业务部门也不会理解。他们只是说“我需要每天拨打20 个电话”或“我的下载速度需要多快”。但在幕后，我必须考虑他的20 个呼叫将如何影响我的带宽。添加固定电话与添加入口相同。这对整个网络安全架构有何影响，这些都需要真正的思维转变。

了解业务需求并将其转化为技术解决方案是CIO 和CSO 的基本能力。您不能从纯粹的技术角度思考问题并告诉业务部门他们不能这样做，因为这会影响他们的IT 架构。这样的CSO 无法在公司内生存。

量化自己的工作价值，了解安全对于企业的重要性，是CSO应该持续思考的方向。

钟振山：其实有几个标准，比如项目投资多少，投资回报率是多少，涉及到什么样的用户，最终创造的商业价值是什么。我们之所以设定这些标准，是因为我们相信，如果公民社会组织不能清楚地思考这些问题，项目本身就会失败。因为这个人可能不了解网络安全对于公司本身的价值。在这次评选中，我们希望利用这些评分机制，真正选出最好的项目给大家看到。所以我们实际推出的20个项目在这方面肯定是非常好的。

36氪：今天有看到比较好的安全案例吗？

钟镇山：是的，我们准备挑选20个悬案。但是，有一个一般规则，如果我们找不到20 个符合标准的项目，我们将评估15 个项目，而不是20 个，在某些情况下会评估10 个项目。这个标准会根据项目数量逐渐变化。没有意味着一件事。但现在来看，虽然有一些很好的例子，但我认为普及率还没有一些发达国家那么高。那里没有那么多真正好的安全项目。我问了几位CIO，他们有没有什么好的项目推荐，经过反思，他们确实没有。事实上，这方面也反映了我国整体网络安全的总体水平。

另一方面，从全球评选过程来看，优秀提案不少，每年收到的提案超过300件。所以今年，由于是第一次在中国举办，我想我们收到了50多件，这是一个相当大的数量。然而，当你真正看细节的时候，你发现很多人其实并不明白这个项目会给公司带来什么价值。

例如，如果你使用态势感知系统，为什么要使用它呢？人们对此了解不多。我很想问：这个项目能为公司避免多少潜在风险？很多人并没有真正思考过。因此，在这些方面，我们想通过这次会议为大家提供一些建议和想法。在从事网络安全项目时，您可能需要从企业角度思考，以及为什么要从业务角度做这个项目。

例如，您的上一个SSO 系统可能会影响数万或数十万员工。大家都觉得很麻烦，但是你明白为什么需要这样一个项目吗？我们的CSO是否真的向所有员工解释了这一点？这样做的好处和效果是什么？你有认真思考过吗？这就是我们这次评选想要做的，真实反映这次事件对业务的积极影响。

36氪：造成这种情况可能有两个原因。一是企业不重视安全，二是安全人员工作不出成果。那么，从目前的趋势来看，您认为懂业务、能提供输出的安全管理员数量会增加吗？

钟振山：希望如此。事实上，我们已经看到一些例子，安全人员技术性很强，但他们最终没有考虑如何构建良好的网络安全防护体系，他们只是不了解最起码的网络安全立法。您可能只需要以满足要求。这并不是一个孤立的案例，许多安全领导者可能都这么认为。造成这种情况的原因之一是组织内部缺乏了解。从商业角度来看，安全是一个棘手的问题。例如，您可能会问为什么我的密码不能是12345678 或者为什么我必须在以前的系统上重新输入用户名和密码。因此，安全领导者可能会在公司内部感到不被理解和怨恨。

当面对这样的情况时，人们会有两种反应。一是尝试改变，这可能是一个优秀的安全领导者所做的。另一方面，大家又想：“你不想要这个，我就不做，我就做一个最低标准吧”。这样人们就不会让我难堪，也不会在背后说我的坏话。

但很多人没有意识到，如果所有的安全负责人都这么做，那么公司潜在的安全风险将会非常大，最终会给公司带来真正的损失。安全人员需要确保每个人都明白他们为什么这样做，以及它给业务和公司本身带来什么价值，而这需要很强的沟通能力。

一般来说，安全领导者希望在企业环境中更好地体现其公司的价值观是可以理解的。毕竟，每个人都在公司工作，毫无疑问都希望拥有更多的话语权和地位。但话语权必须以正确的方式真正体现其价值，这才是正确的路。那么，回到我一开始说的，CSO和安全专业人员给企业带来了什么？你能量化一下吗？你能真正理解网络安全对企业意味着什么吗？就是这个。是这个小组应该继续考虑的一个方向。

但总体而言，公民社会组织的重要性确实在持续增长。 IDC近期发布的《2022年V1全球网络安全支出指南》预测，2021年至2025年的五年内，中国网络安全市场将以20.5%的复合年增长率快速发展，成为全球第一。因此，CSO作为企业网络安全的首席执行官，对企业整体网络安全负有重大责任。因此，要落实企业的网络安全战略，提高网络安全部门的水平和提高公民社会组织自身的战略敏锐度非常重要。我们也希望，在时代大势下，更多的民间社会组织能够取得更好的成绩。

——————————

相关文章：IDC发布最新版网络安全支出指南：2025年中国网络安全市场规模将突破214亿美元

36氪新动向| 如果你招不到年收入300万的人，谁能成为你的首席安全官？

关注| 聚焦数据安全的IDC 2022 CSO全球网络安全峰会将在中国举办