事实上，CSO就是企业的“军师”。

    三、CSO是否也会像CEO、COO（chief operation officer）那样大行其道呢？

    两三年前，在CEO等刚刚写入字典的时候，人们尚不知CSO为何物。但实际上，大公司里的一些安全专家，甚至保安人员，正在担负着公司各方面的安全重任。CSO在不同的公司有不同的含义，有些保护实物安全（包括职员人身安全和公司财产安全），有的负责防止公司网络免遭黑客攻击，有的主要保证公司产品的性能安全。 然而，CSO具有更广泛的内涵。业界人士称之为“首席安全策略家”，意为他们必须在宏观上预见并防止潜在的安全隐患，同时还能够指挥对付已经发生的安全问题。因此，CSO更多的是管理层面的意思，而非技术层面。 9·11之后，CSO开始流行。CEO们开始考虑在公司分设管理实物安全和信息安全的职位。在过去的两年年里，美国在线时代华纳公司（AOLTIMEWARNER）、太阳微系统公司（Sun Microsystems）等大公司聘用了高级安全官员。“猎头”公司永远不会落后时代，著名的“猎头”公司——克里斯蒂安-延伯斯公司（Christian and Timbers）此前从未挖过CSO，而2003年一下子做了5、6宗生意。 但是，CSO要被商界普遍接受，似乎有一段路要走。克里斯蒂安－延伯斯公司调查了《财富》前1000强企业的390名执行总裁，有高达95％表示对CSO感兴趣，但只有25％称准备聘用CSO，而已经着手招聘的则少得可怜，只有8％。很多公司表示，他们还不清楚是否需要CSO，更不知道CSO的工作范围。他们对一些问题感到茫然：实物安全和信息安全是否应由同一人负责？CSO是否可以为了保证安全而不惜代价？CSO在公司管理层处在什么样的地位？ 著名市场研究机构META Group指出，30％公司设置了类似CSO的职位，但只有5％的公司分设了负责实物安全和信息安全的职位。业内人士称，如果把这两个职位合而为一，那就没有实际意义了。设想，一个公司聘用退役军人承担双重角色，而事实上这名军人的信息技术和信息安全知识有限，因而他很可能在确保公司技术安全上无所作为。微软公司现任CSO斯科特·查尼负责测试微软产品的安全性能，然后告知客户；而公司的实体安全工作则另有专人领导。 另外，有人担心CSO可能只是“新瓶装旧酒”。因为在已有类似职务的公司，CSO没有多少新的权力。著名调查公司Gartner的研究主管雷·瓦格纳一语中的：“CSO没有被赋予实施安全策略改革的权力。”曾经担任过信息安全工作的加里·兰什说：“他们被淹没在一大堆的技术问题中，根本无法抽身去考虑安全策略。” 业内人士称，CSO必须跳出具体的安全工作事务，从公司全局考虑来制定安全工作计划。但遗憾的是，许多CSO只懂得技术安全，而不了解公司从事的商务内容。从2001年8月开始担任Digital Evolution公司CSO的埃里克·赫林表示，电脑安装的防火墙会由于警报而不时关闭公司系统。“人们对此满腹牢骚，但这就是安全的代价。” 分析家预测，在软件业，预计到明年底将会有20％公司拥有专职CSO，到2009年会接近饱和；而在零售业，聘用CSO的比率仅仅会从现在的3％上升到10％。

    四、中国企业是否需要CSO？

    在新技术不断诞生、客户需求变化多端、股东对公司期望值越来越高的今天，企业必须制定更清晰的战略目标，并确保战略能够有效执行，因此CSO的设置并不意味着要去取代谁的位置，而是负责指导企业营销与产品战略的规划制定、组织结构再造与重大变革、拓展国际业务等，并协助总裁监督有关战略的执行。

    中国企业是否需要CSO？不少外企管理人员的答案都是肯定的。一项调查显示，90％的中国企业不能有效进行战略企业管理，主要原因是企业在设定目标时，尚未真正了解市场环境、目标客户需求和企业自身的实力，制定战略时也没有充分考虑整合人力、财力、物力等资源的配套，而且没有统一工作的方向，在拟定计划时，企业很难将战略转化并连接至各部门及每个员工的日常工作。因此，正处在向国际化企业转型期关键时刻很多企业向国外IT企业取经，引入了这一战略管理机制，希望通过聘请CSO，帮助企业实现跻身全球企业管理前列的计划。

    有关信息显示，到2005年将有20％的企业遭受病毒等来自外部网络的严重侵害，并认为“如果受到攻击时没有采取相应的防护措施，那么所蒙受的损失将有可能高于措施成本”。估计由于安全问题造成的损失至少是用户在安全系统上投入的5倍以上。

    因此，中国用户应该重视信息系统中安全产品和服务的投资。安全产品与服务投资应该成为企业信息系统投资中必不可少的部分。这一部分是不应该忽略的。

     五、中国需要什么样的CSO

    CSO一个基本的条件就是对安全应该有一个基本的了解，因此， CSO在三个领域要特意加强自己：

    第一，业务连续性和灾难恢复的知识和技能。因为CSO的职责，他要对企业的业务非常了解，他担负着保障整个企业业务系统的安全性和有效性，作为领导者，他同时对业务连续和灾难恢复，作为CSO你应该自身有一个比较好的掌握。

    第二，CSO对风险评估和管理应该有一个比较好的理解和掌握。CSO最明确的职责是实现企业信息安全风险管理策略，作为领导者必须对风险评估管理有一个比较深刻的了解。

    第三，CSO本身在技术上，要对审计有比较好的掌握和了解。这个“审计”，其实风险评估里面有一部分的审计，这里的审计不仅仅是风险评估里的审计，这个审计涵盖的内容会更大一点，因为CSO的角色从更大一点的层面上来讲，可能涵盖的意义更多。

    CSO一方面要借助整个队伍的力量，应该对上边提到的三个方面有比较好的掌握。现在信息技术更新比较快，CSO要注意学习，现在获得知识的渠道是很多的，就看你是怎么筛选，怎么去获取其中对CSO工作更有利的一些知识，这些可能是CSO自己去判断的。

    六、一个需要CSO起跑的时代

    首先，中国目前很有必要设立CSO。尤其像政府、金融、电信等关键部门，信息安全已经成为企业的核心竞争力，而目前的企业安全正受到越来越严峻的威胁，安全问题的日益严重促使了CSO的闪亮登场。其次，CSO不应该仅出现在IT领域，制造业、零售业等其他行业也应该有CSO的身影。制造业是中国的基础产业，其信息化建设正如火如荼，因此，信息安全也应提到议事日程上来。

    另外，我们目前的重点还是CIO(信息主管)。其实，国外CSO的职责远非如此。它是一个宏观的概念，CSO不仅要处理IT安全方面的事务，应该涵盖整个企业的安全领域，包括整个政策的制定，甚至进出公司大门等全方面的问题。

    总之，中国的CSO该是到了起跑的时候了。

(责任编辑：)