这个职业现在仅在自我定位中。

因数据泄露事件造成的恶劣影响，首席信息安全官（CISO）角色被人们重新认识。公众注意的中心再次跟随一系列引人注目的大公司数据泄露事件，也带动了对受害者信息安全项目内部运作的仔细审视。

许多商业企业仍未能更新他们的安全项目并认命集中管理岗位。还记得2011年RSA SecureID双因子认证数据泄露事件以及2012年LinkedIn用户密码被盗事件吗？当时没有一家组织有专职CISO。事件之后这两家公司都已补充了该职位。

回顾刚过去的这一年，几个家喻户晓的企业--财富500强的Target和摩根大通，同样遭受了令人瞩目的数据泄露事件。它们没有CISO，甚而也没有专职负责安全风险项目管理的领导层。客户对此不满，而无论监管者、银行、信用卡放款人或是供应链也都对此不满。

伴随较高薪资与复杂挑战的诱惑，CISO这一职位为那些抗高压的个人提供了机会。他们要能制定安全与风险管理项目，弥合管理层与工程师间的鸿沟，并能在只有模糊细节的技术控制措施与合规框架中找到正确做事方法。升职至CISO的职业生涯往往始于计算机科学、军队与情报或执法工作。CISO这一职业仍在不断发展中，然而该领域的许多人看来，它的作用仍有很大程度未被明确。

2013年节日期间因数据泄露事件遭受到数亿损失的Target，近日聘用了它的第一位CISO，Brad Maiorino。这位前通用汽车CISO及首席风险官在今年七月告诉《纽约时报》：“正是现在，我们有机会明确CISO的定位以及我们的汇报对象，身处这一职位是一个激动人心的时刻。”

平衡举措

早期CISO或多或少扮演着高级管理员角色，他们工作于后勤部门并负责防火墙基本配置。Cubic Corp.首席网络安全战略官Bruce Brody直言：“在那个位置没有真正C级别或者高管级别的角色。”Bruce Brody分别在退伍军人事务部、能源部以及国防部承包商DRS技术历练了其15年的CISO职业生涯。

当然这正在发生变化。随着安全风险与隐私泄露事件的急剧上升，现在CISO这一角色贯穿IT、合规、业务连续性、人员及设施，这使得商业企业很难决策如何在组织架构中合理设置这一职位。Brody认为：“涉足组织的不同领域已使得CISO可以就座于领导层议席。”

CISO基本年薪

为了应对不断变化的威胁格局，一些公司已经更新了他们的网络安全关注重点，逐渐投入更多资源给CISO这一职位。Alta Associate是一家位于Flemington, N. J.的高端猎头公司。其资深猎头Cindy Miseli认为，“为了更充分地做好准备，我们的客户正在提升CISO职位到真正高管层，而不是需要向C级别汇报的总监级别职位，并逐渐增加预算，预期增加人员名额并加大技术投资。”

CISO职位通常在具备1000人或以上规模的企业才会设立，但市场研究机构Gartner建议150人规模的组织也应考虑聘用专职的CISO。

Alta Associate有着25年历史，长期从事IT风险管理及安全领域的高管人才招聘。Miseli认为， CISO现在将开始聘用更多专业的直接下属，他们在IT取证、事件响应、安全运营和控制以及IT风险管理等领域具备较深入的技术能力。同时，安全官正被给予机会参与传统信息安全项目之外的企业计划，如兼并与收购以及产品战略。

“我们正见证客户在寻找候选人上的转变，不仅需要有成就的技术专才，还有那些有战略眼光的业务驱动型领导者，后者有能力吸引、挖掘并获得有能力保护公司品牌与资产的顶尖人才”，Miseli还说：“这正是驱使薪酬包因组织的规模与范围存在30万美元到50万美元差异的关键因素。”

CISO基本年薪 

仅是名义上的

CISO职位通常在1000人或以上规模的企业才会设立，但是市场研究机构Gartner建议150人规模的组织就应该考虑聘用专职的CISO。Gartner分析师Paul E. Proctor在《CISO商业案例》2012年报告中写到，未设立专职CISO职位的实体，范围从采用“无知是福安全模型”的公司，到那些有着出色的安全控制措施、也因此看不到集中安全领导岗位需求的公司。Proctor还认为，其他公司即使名义上设置了CISO职能，却将安全工作分配给法务或IT部门，而这些部门没有时间做专职投入。

Brody认同这一现象在政府及商业企业均存在。“大多数组织已经遭受到了恶意软件或持续威胁的重击或攻击—恶意攻击发生在他们的基础设施上，”Brody认为，“但只能说他们具备CISO检查框，用于告知董事会和投资方，‘是的，我们有首席信息安全官。’至少，他们采取措施并放了专人在岗，而且从薪酬方面他们也算为CISO投入了资源。不幸的是，这并不能解决任何问题。”

尽管日益增加的责任与更高的要求，许多公司的CISO职位仍然是技术驱动与执行层面的，他们仅有极为有限的时间花在战略和策略制定上。Ponemon Institute分析了133位CISO的数据，作为2013年重要薪资调查的一部分。当CISO们被问及他们时间花费时，以100分计，其中监控与审计得分最高（24分），接下来是完善策略（16分），事件管理（12分），业务连续性管理（11分），风险评估（10分），依次往下。计划（5分）和采购（4分）分值都相对低。策略制定（2分）、战略设置（1分）以及公司内部沟通（1分）在被调查者中，排名最低。

请继续阅读《众所瞩目的CISO角色已然生变了吗？（二）》