首席信息安全官应该向谁报告？这取决于你问谁，以及企业首先希望通过CISO来实现什么。

也就是说，对于大多数企业来说，让CISO向业务主管而不是技术主管报告至关重要，并且让CISO和首席执行官之间的级别尽可能少。研究表明，在企业中，如果CISO向既不是CEO也不是直接向CEO报告的人报告工作，安全结果（基于客观和具体指标）往往更差。

常见的CISO报告结构

CISO通常向业务职位（例如首席执行官、首席运营官或首席风险官（CRO））或技术职位（通常是首席信息官）报告。

这里的选择取决于企业如何看待网络安全：作为变革性业务推动要素；作为专注于确保运营连续性和完整性的业务推动要素；作为风险管理的另一个方面；作为合规性检查项目；或作为提供IT服务的安全预防措施。

CISO向CEO报告：网络安全作为战略推动因素

研究表明，CISO直接向CEO报告的企业往往会看到最好的安全结果。

CISO-CEO报告结构的优点

• 将网络安全定位为战略和运营关键业务优先事项，并提供顶级支持。
• 使CISO能够直接向高层决策者传达网络风险，并将网络安全计划与业务目标保持一致。
•  默认情况下，确保网络安全不只是IT的工作范畴。

CISO-CEO报告结构的缺点

• 如果没有正确的技能组合（强大的业务敏锐度、复杂的沟通能力和对组织目标的坚定把握），直接向首席执行官报告的CISO可能会陷入困境。

CISO向COO报告：网络安全作为运营必要因素

在更广泛的组织中，向首席运营官报告的CISO通常拥有重大的权力和影响力，支持强大的网络安全成果。

CISO-COO报告结构的优点

• 承认网络安全和网络复原力是业务连续性和风险管理的基础。
• 使CISO能够直接支持日常业务功能，并确保网络安全举措与企业目标保持一致。
• 让CISO与首席信息官和首席技术官（他们通常也向首席运营官报告）处于平等地位，最大限度地减少安全向IT报告时出现的利益冲突问题。
• CISO和CEO之间只有一个职位，确保网络风险问题可以很容易地接触到最高决策者。

CISO-COO报告结构的缺点

• 如果没有正确的技能组合，直接向首席运营官报告的CISO可能会陷入困境。
• 由于无法直接接触首席执行官，CISO必须依靠COO来传达网络风险问题。

CISO向CRO报告：网络风险是企业风险的一部分

有些企业将网络风险视为一种企业风险，类似于地缘政治风险、创新风险等，这些企业的CISO向CRO报告。当且仅当该企业拥有良好且成熟的风险计划（典型的金融公司、制药公司和国防组织等）以及直接向CEO报告的CRO时，这才是有效的报告结构。

• CISO-CRO报告结构的优点
• 将CISO的挑战、关切和问题放在更广泛的企业风险计划中，至少在理论上，这是它们应该在的地方。
• 将网络风险视为主要业务问题，而不是利基技术问题。
• CISO和CEO之间只有一个职位，确保网络风险问题可以很容易地接触到顶级决策者——假设CRO直接向首席执行官报告。

CISO-CRO报告结构的缺点

• 在不成熟的企业风险计划中，CRO可能缺乏经验，资源不足，离领导层太远，或者三者都有。
• 在某些情况下，与日常业务运营的距离不够，可能会损害网络安全计划的有效性和影响力。
• 由于无法直接接触首席执行官，CISO必须依靠CRO来传达网络风险问题。

CISO向CFO报告：审计要求网络安全

那些将网络安全视为审计要求的公司可能会将其CISO（通常也是CIO）放在CFO之下。通常，此类企业将网络安全与IT一起视为几乎没有战略价值的业务成本。

CISO-CFO报告结构的优点

• 确保企业满足外部强加的要求，例如合规法规，同时监控和控制成本。

CISO-CFO报告结构的缺点

• 边缘化网络安全，将其定位为成本中心，将网络风险管理定位为勾选确认的项目。
• 与基于合规性的网络安全保持一致，而不是更复杂的基于风险的策略。
• CISO缺乏向首席执行官和董事会传达网络风险的渠道和机会。
• 向首席财务官报告的CISO通常具有极其有限的权限范围，可能没有工作人员，甚至没有专门的预算。

CISO向CIO报告：网络安全是IT的一部分

CISO向CIO报告历来是最常见通常最无效的做法，这是基于危险的误解，即网络安全在很大程度上是一种技术功能。

这种假设是不准确的，因为CISO不仅负责保护技术基础设施，还负责保护整个公司。例如，除了破坏企业的网络和系统外，成功的攻击还可能导致数十亿美元的市值损失，并影响企业品牌。这也是危险的，因为CIO和CISO经常有相互竞争的优先事项。当CISO向CIO报告时，CIO最终对CISO的行动拥有否决权，并可以控制CISO的议程和重点。

CISO-CIO报告结构的优点

• IT部门通常有大量且既定的预算，这有利于网络安全。

CISO-CIO报告结构的缺点

• 将网络安全定位为利基IT问题，而不是业务问题，并限制CISO的影响力。
• 通常表明，如果意味着达到关键的最后期限，则企业认为提供安全性不足的服务是可以接受的——尽管通常只是暂时的。换句话说，快速做生意胜过负责任地做生意。
• 在IT和网络安全优先事项不一致的情况下产生利益冲突。
• CISO缺乏直接向首席执行官和董事会传达网络风险的渠道和机会。

如何选择正确的CISO报告结构

在Nemertes Research的工作中，笔者及其同事们采访了数百名安全和业务高管，询问他们的CISO向谁报告，并收集到客观的网络安全成功指标。某些CISO报告结构可明确带来更好的结果。

数据显示，在网络安全取得最大成功的公司，CISO通常直接向高层业务高管报告，而不是向首席信息官或低级业务高管报告。

在很多情况下，最佳做法是向首席执行官报告。对于任何依赖IT开展业务的公司来说，网络安全都至关重要，对于每家公司，各种规模和跨行业。让网络安全主管向公司领导报告，可表明其重要性。如果一家公司足够大，可以拥有一位CISO，那么该CISO应该向高层报告。