边栏：首席信息安全官在风险管理中所起的作用

　　在过去15年中，企业的风险管理战略，即防范、应对、转移和缓和风险的能力，几乎没有什么改变。但是要求企业在更短的时间内消化更多信息的压力却日益增强，给高层管理人员制订正确的决策制造了更多的障碍。

　　要进行有效的风险管理就必须考虑信息保护的问题，也就是说，在不违反诸如《萨班斯-奥克雷法案》（Sarbanes-Oxley）等监管规则的前提下，在信息的有效期内安全地管理信息。做好信息保护工作有利于更好地进行业务决策，因为只有企业高层管理人员重视了信息保护，企业才能制订出管理风险的战略方案来。

　　但是，在大多数公司的监管结构中，往往缺少了与信息保护相关的风险管理战略。如今，现代企业所面对的问题不断增加、涉及范围不断扩大，无法应对这些问题将导致严重的后果，而通过各部门的经理人[包括首席信息官（CIO）]的密切合作来解决这些问题的需求也显得格外迫切。鉴于此，企业必须设立一个负责信息保护的高层管理职位，这点尤为关键。

　　事实上，一个行之有效的信息保护项目必须考虑到业务运作的不同方面和不同模式，需要管理层给予执行信息保护和风险管理流程的部门以恰当的权力和财务资源。首席信息安全官（CISO）必须有权动用特定的业务功能、流程和模式等，以确保实现合理而恰当的保护效果。

　　CISO只有从整个组织的视角出发，理解业务的运营流程后才能开展自己的工作。《首席信息官的安全职责》图显示了CISO在组织结构中所处的地位，以及在管理上面对的一些复杂问题。

　　董事会、首席执行官（CEO）、首席财务官（CFO）以及首席运营官（COO，如果组织内部设立的话）所制订的决策都会影响到CISO职责的履行。但是，同样道理，没有CISO的参与，这些权威人士也无法做出恰当的决策。因此，CISO的职位应该近似于首席法律顾问或者审计委员会负责人的角色，这样才能够让他发挥出应有的作用。

　　由于CISO需要与高层和董事会直接沟通，因此担任这个职位的人必须完全独立于CIO。理想的状态是，CISO负责风险的治理，而CIO则进行信息技术的日常运营管理。

　　通常来说，CIO所掌握的预算要远远多于CISO。另外，前者手下往往有很大一支员工队伍，与之相比，后者的属下可能就只有10多人，或者更少。但无论如何，这两者都有一个共同的使命，即携手推动企业实现优化股东价值的目标。

　　在一个运营协调的企业里，CISO可以对负责业务功能、运营以及保障流程这几方面的管理人员施加影响，并从他们那里获取反馈。与信息保护相关的业务功能管理人员包括：进行风险管理分析的人员、人力资源和法务部人员，以及那些制订、起草和实施相关政策、标准和流程的人员；运营管理人员包括：参与信息技术测试和变革控制的人员、负责实际运营安全及信息安全技术实施的人员，以及处理紧急事故的人员；而负责保障流程的管理人员则包括：审计人员、进行安全知识和安全意识培训的人员，以及从事文书工作的职员。

　　如果CISO在组织结构中的职位过低，则会产生很多严重问题。由于缺乏必要的职权，他们无法获得相关人员和信息的支持，无法施加必要影响来完成信息保护的职能，而最终的失败只能由高层管理人员和董事会自行承担。让我们回顾一下2004年所发生的前车之鉴：

　　各自为政的问题：在一个案例中，某家公司由其生产部门负责实际运营中的安全问题。但不幸的是，CISO的职位较低，不足以指导生产部门的决策。结果，负责渗透性测试的人员有好几次都得以径直进入最机密的区域，甚至进入了存放关键信息资料的禁区。这些资料包括公司尚未对外公布的全面财务数据、成百上千名员工的工资条复印件，以及几起悬而未决的购并交易的会议记要。迄今为止，这位CISO仍缺乏解决这些问题应有的职权。

　　与CIO共事的问题：在另一家大型分销商那里，CISO要向CIO汇报，结果前者增强数据安全的措施因无法令后者满意而未能推行。在公司从订单到运输的整个流程中，CIO擅自剔除了看似冗余的几个组件，这种做法虽然略微为公司节省了资金，但无疑于将企业直接暴露在风险之下。不久，一个关键系统的磁盘驱动器失灵，为了解决问题，公司耗费了 100万美元的直接成本，还损失了上百万美元的业务，公司的良好信誉也同时受到了严重影响。这名CIO最终难逃被炒鱿鱼的命运。

　　我们主张CISO 应有较高的职位以及充分的技能，但这并不意味着需要对企业进行结构重组。实际上，CISO应该在现有的企业架构下卓有成效地开展工作，同时又不至于打乱正常的业务进程或是招致怨恨。一名好的CISO就好像是一个技艺高超的驯养员，能够恰到好处地将管理技能、人际交往技能和技术知识融于一身。

　　和CIO 一样，CISO要有效地开展工作，也必须充分地理解信息保护和业务管理流程。当组织制订了风险管理的战略方法后，就有必要赋予CISO跨部门调用业务资源的权力，以及与各层面直接沟通的有效渠道。这不仅仅是管理风险的明智方法，也是未来企业培养其管理队伍的有效模式。

　　作者简介：

　　Fred Cohen是Burton集团咨询公司(Burton Group)的首席分析师。

小贴士

　　虽然业务经理和技术经理都面临着有效贯彻风险管理战略的压力，但很多经理在执行这些战略时仍然存在很大的问题。这一结论是系统监管公司（Oversight System）在针对2005年5月举行的“财务执行官国际会议”（Financial Executive International Conference）与会者所做的调查后得出的。

　　虽然68%的与会者反映，他们的首席执行官（CEO）比以往更为强调全方位的风险管理，但55%的人反馈说，他们的公司并没有设立专职的风险管理经理；另有55%的被访者承认，公司上下并未就风险的定义进行过广泛沟通。54%的人说在过去5年时间中，曾有一些让他们感到震惊的重大事件发生，这也是沟通不畅的佐证。此外，公司在风险管理上运用科技手段的步伐显得比较缓慢：只有32%的受访者称，公司已经开始用科技手段来甄别风险，仅仅15%的人表示科技手段被应用到了对未来风险的预估中。

（信息周刊）