在人类迈入信息时代的今天，各企业分享着现代科技带来的便利，也面临着信息安全的威胁。近两年来，一种被人们称作“冲击波”的蠕虫病毒掀起了一场至今也另人心悸的互联网风暴。但那只是表象，从过去的防止外部病毒攻击，到如今的网络内部管理日益受到重视， 特别是随着许多企业、政府、金融、能源等行业纷纷建设了Internet网络，再加上Internet天生存在的漏洞。网络中断和病毒传染每年耗费商界数百万美元。我们经常能看到关于新病毒攻击和摧毁公司系统的新闻，还有很多所谓的“黑客”窃取众多公司客户数据和其他商业秘密。从而导致公司经济发展滑落甚至破产，或者大量的公司雇员的解雇。这些危险直接接近企业的主体系统，这使得网络信息安全问题在今天成为了一个异常严峻的课题。如何享用现代信息系统的快捷、方便的同时充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。

    专家研究表明，信息安全在于保证信息的机密性、完整性、可用性三种属性不被破坏。为保障信息的机密性、完整性和可用性。由英国标准协会（British Standards Institution,简称BSI）制定了信息安全管理体系标准。它包括两部分，其第一部分《信息安全管理实施规则》于2000年12月被国际化标准组织（ISO）纳入世界标准，它广泛地涵盖了所有的信息安全议题，如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制，甚至包含防病毒的相关策略等。这个标准已经成为国际公认的信息安全实施标准，适用于各种行业与组织。

    中国有关机构在2003年4月16-18日联合举办首届中国信息安全管理论坛，针对国际公认信息安全标准进行了研讨，100余人参加了讨论会，取得了良好的效果，为进一步使国内安全管理人员熟悉国际信息安全管理标准，中国开始了培养既懂信息安全管理标准，又懂信息安全技术的CSO。

    其实，在国外，早在美国9·11恐怖袭击之后，安全问题就被提升到了一个非常重要的位置。在政治家忧心忡忡的时候，商界也忙乎起来。于是，继CEO（首席执行官）、COO（首席运营官）、CFO（首席财政官）之后，CSO（首席安全官）也应运而生，赫然出现在一些大公司的管理高层。

    信息像其它重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要妥善保护。信息安全使信息避免一系列威胁，保障业务的连续性，最大限度地减少业务的损失，最大限度地获取投资和业务的回报。

    CSO（Chief Security Officer），在我国有多种翻译。有的叫“信息安全主管”、“首席信息安全官”，有的译为“首席安全官”、“安全总监”、“首席安全策略家”，也有的叫做“首席安全执行官”、“首席战略家”。

    一、微软等九家公司成立全球首席安全官委员会

    前不久，九家美国大公司以及一家政府机构的安全主管们计划成立一个新的安全顾问组织，这一组织成立的目的是为了帮助企业更好的保护它们的信息系统。 　

    这一组织的名称为全球首席安全官委员会，它将提供安全建议、发布安全推荐，并同美国本土安全部一起帮助美国公司应对通过互联网发起的攻击。该组织最初的成员包括eBay公司的首席安全官以及前美国最高网络安全官霍华德。斯米特，此后来自美国银行、花旗集团、甲骨文、MCI、微软、摩托罗拉、Sun以及华盛顿互惠公司的安全主管将会陆续加入进来。参加这一组织的唯一一名政府代表是纽约州的网络安全及关键设施主管维尔。佩格林。

    今年二月，美国布什政府制定了最终的保护互联网及信息系统战略。这一战略要求政府部门同私人企业协同作战，共同创建网络攻击应急响应系统以减少安全威胁。美国政府是在全国范围内受到Slammer蠕虫病毒的攻击后制定这一策略的，这一病毒给美国的政府部门和公司带来了难以估价的损失。美国银行和华盛顿互惠公司都因为这一病毒而造成自动柜员机(ATM)停转，原因是取款机和公司服务器之间通信失效。

    安全专家指出网络攻击在未来几年有愈演愈烈的趋势。全球首席安全官委员会成立的目的就是遏制这种势头的发展。目前该组织的成员只有美国的公司和政府机构，而在不久的将来该组织将吸收来自全球的代表加入。

    安全问题的重要性已经得到越来越多用户的关注。但是，中国用户在网络安全问题上，说得多，做得不够，真正建立起完备、科学、合理安全防护体系的就更少了。造成这一局面的根本原因是对安全系统的投入不够。

    美国等发达国家在网络安全方面的经验与教训值得中国用户借鉴。以前，用户在安全问题上的做法是“头痛医头、脚痛医脚”，没有从整体上考虑网络安全问题。中国企业的信息化基础设施已经初步完善，现在是考虑安全系统的时候了。目前，中国的信息化基础设施建设已经达到很大的规模，必须开始重视信息安全的问题。要从系统设计的早期就考虑信息安全的需求，从根本上保证系统的安全。而对信息安全越早重视越早投入，就越能够减少企业因为风险而造成的损失隐患，也能够更多地节约后续的资金消耗。

    另外，国家应该尝试在安全系统中采用国外先进技术与产品。他认为，安全系统是不是都要国产的，实际上是一个值得推敲的问题。“但我相信政府会慢慢开始通融，至少在服务内容上，可以先行采用类似于病毒检测、漏洞检查、入侵检测等不需要涉及变更和渗透的服务项目，在那些如防火墙、加密等敏感项目上，可以在进一步的沟通和整体市场的发展中来决定是否采用国外技术与产品。”

    二、企业发展急需首席安全官（CSO）的支持

    当商业从关键任务的商业过程和应用向IP网络迁移时，或者运用英特网与供应商、合作伙伴和客户进行信息交流时，安全问题理所当然地成为人们关注的重点。为实现股东利益的最大化，包括首席执行官（CEO）、财务总监（CFO）、首席信息官（CIO）、技术总监（CTO）和首席运营官（COO）在内的C级管理人员，在做出战略决策时都难免背负沉重的负担。显然，实现利益最大化和企业日趋增长的安全性要求之间存在着冲突和抵触。

    安全不仅仅只是一个涉及网络的问题，它还直接影响到CRM、供应链、端口和外部网软件。尽管用于安全的预算每年正以25%的幅度增长；然而，事实上这部份预算并没有得到合理使用或者没有起到预期效果。
   包括CEO、CFO、CIO、CTO和COO在内的C级管理人员应该全力支持CSO（首席安全官）的工作。

    首席安全官（CSO）的主要职责是对物质和技术安全负责。他们利用法律和行业规定对物质基础设施进行保护。现在的金融服务和医疗保健服务已经具备比较完善的个人隐私规定，因此，确保在线信息的安全性成为服务提供商的一项法律义务。首席安全官面临的挑战，正是如何创建一个安全架构，对网络、硬件、软件、应用、数据各方面的内容进行安全管理。由此可见，首席安全官在开展工作时，必须将这一安全理念灌输给所有部门和子公司，并实

    美国著名经济杂志《商业周刊》在“2002年度世界100大品牌”的评选中，评估韩国三星电子的品牌价值为83亿美元，居世界100大品牌的第34位，较之上年的64亿美元上升了30％，而排名也提升了8位，成为全球品牌价值提升速度最快的公司。就在这段知名度迅速跃进的过程中，三星曾经在全球聘请过多位CSO。美籍华人莫斯（Morris）就是其中的一位。他主要为三星在中国的信息技术投资出谋划策。 在莫斯的履历表上有几个我们非常熟悉的世界500强的名字：AT&T、IBM和微软；他曾经协助AT&T开发多媒体培训教育、帮助IBM开发全面质量管理技术、为微软公司拓展美国程序开发市场。 正是因为有在好几家世界500强工作的经历和经验，三十出头的莫斯在CSO的位置上显得比较轻松自如。作为首席战略官要考虑的几件事情是：现在在做些什么？还能做什么呢？为什么要做？怎样去做？对莫斯而言，在中国的IT市场竞争日益激烈的状况下，帮一个“IT巨无霸”在中国决策是一个很大的挑战。《商业周刊》2003年6月24日公布的“全球IT百强”中，三星名列第一。作为韩国第一大企业，去年三星全球销售额达到900亿美元，经营领域遍及电子、金融、娱乐、酒店、石化、重工、毛纺、文化等诸多领域。如此看来，CSO功不可没。

(责任编辑：)