2021年，我与安在、诸子云同仁们共同编写的《CSO进阶之路：从安全工程师到首席安全官》出版。转眼来到2023年，在过去的两年中，信息科技和网络安全领域经历了许多变化，这些变化不仅影响了企业自身的安全状况，更体现在信息科学和网络安全领域的技术。首先来看看这两年网络空间安全的变化。

网络空间安全要面对的威胁和应对方式：

■ 人：

2021年到2023年，人这一物种并没有产生多少变化，唯一要说的变化可能是大家都经历了从封控到放开的过程，这一点从五一出行的人数就知道——大家更热爱生活、更想让自己放松了。

■ 流程：

为了对应境外和境内的威胁，在2021年到2023年之间，国家颁布了不少和网络安全相关的法律、法规：

■ 技术：

2023年的技术趋势

来自中国计算机学会（CCF）计算机安全专委会发布的《2023网络安全十大发展趋势》

■来自Gartner

今年再看《CSO进阶之路：从安全工程师到首席安全官》，这两年的变化也给CSO带来了新的挑战。

以上图片来自网络搜索，如有侵权请联系删除

人工智能和自动化技术在各领域中的应用带来的安全风险最为广泛和深入。相信大家都已使用或了解过ChatGPT等生成式人工智能服务，在通用领域和垂直领域也都已经有不少较成熟或发展中的产品。人工智能和自动化技术在安全领域中的应用持续加速，这意味着CSO需要关注这些新技术如何影响他们的工作。例如：

攻击者和防护者都可以使用人工智能和自动化技术。在攻防之间，CSO需要了解新技术的优势和限制，并根据其实际情况进行决策，给自己所在企业获取更多网络安全方面的优势。在《生成式人工智能服务管理办法（征求意见稿）》中，CSO也能找到相应的方式方法。

在过去两年中，随着监管机构对数据隐私和合规性的关注不断提高，相继发布并实施：《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》《个人信息出境标准合同办法》。企业也逐渐开始注重数据安全和个人信息的隐私保护。

另外，对于不遵守数据安全和个人信息隐私保护法律法规的企业和企业负责人，已经在部分国家和地区受到了处罚。因此，CSO需要考虑如何确保企业的数据安全和个人信息的隐私保护，以避免遭受可能的刑事、民事处罚，以及带来的声誉损失。

随着应用的专业化程度不段提升，使用的组件、中间件也越来越多。在过去两年中，越来越多的企业已经开始关注软件供应链安全和风险管理，以便更好地评估企业使用的软件产品和软件的供应链安全，并对此类风险开展管理，制定相应的安全策略。这意味着CSO需要更加深入地了解业务流程和不同类型的组件、中间件，特别是和IoT相关的组件、中间件，以便更好地理解企业面临的风险，并为关键资产制定相应的保护计划。

安全人员不仅需要专业技能，还需要具备很强的人际交往能力和团队合作精神。在过去两年中，越来越多的企业已经开始将人员管理和培训纳入到安全管理体系中。CSO需要关注人员相关的网络安全，并积极探索如何提高全体员工网络安全意识，以及拥有特定权限人员的安全风险防范能力和事件应对水平。

让所有人员包括合作伙伴、供应商了解安全事件对业务和风险的影响，并且利用相关的业务语言把法规和平台中的技术语言翻译给不同类型的人员，让所有人员都提升网络安全风险意识，并知晓如何处置、报告网络安全事件。

对于CSO而言，提高自身的视野和领导力也变得越来越重要。在具有网络安全专业能力和商业意识的基础上，CSO需要了解企业的商业模式和战略发展，能够将网络安全与企业的商业战略相匹配，提高企业的生产力和盈利能力。CSO还需要具备更广泛的技能和经验，例如数据分析、风险管理和业务战略等方面的能力。

CSO还需要具备领导力。由于网络安全是与其他领域相融合的，在这个过程中，CSO需要跟技术部门、非技术部门甚至是客户进行有效的沟通。商业能力、敬业精神和卓越的沟通能力，这些技能的融会贯通将会使得我们在安全领域迎接更大的挑战成为可能。

CSO往往有更高的责任感和风险意识，对于CSO来说，保护企业的网络安全是一项重要的责任。CSO需要具备高度的责任感和风险意识，能够及时发现和应对网络安全事件，保护企业的网络安全。网络安全的变化和对CSO要求的变化是相互关联的，随着网络安全的变化，对CSO的要求也在不断提高。未来，网络安全将继续发生变化，对CSO的要求还将更加提高。因此，CSO需要不断学习和提高自己的技术水平和管理能力，以应对未来的挑战。

只有这样，CSO才能够成为企业安全领域的领袖和决策者，为企业提供更加全面和有效的安全保障。

作者：张威、张耀疆、赵锐等

出版：机械工业出版社