从CISO到BISO：下一个职位是什么？

长期以来，网络安全行业都设立有首席信息安全官（CISO）一职，其职责是为企业制定信息安全战略。

但CISO的晋升之路是怎样的呢？

在过去，这个问题很难有个确切的答案，但CISO通常是IT部门人员进入了数据保护、隐私和风险管理领域相关知识和技术后担任的。不过，最近十年来，悄无声息的革命逐渐推进，新的职位（和职业道路）崭露头角。

业务信息安全官（BISO）对许多企业而言可能是个相对陌生的职位。这是不同业务部门和网络安全职能之间的联络员。BISO应相当熟悉业务部门和/或业务支持部门，能够向整个企业统一阐释总体网络安全计划和战略。

过去十年来，随着企业逐渐意识到特定业务单位或部门需要专门的安全角色和技能，BISO职位随之出现。虽然难以确定在各行各业中设立的确切时间，但BISO职位可追根溯源至对信息安全的日益重视、网络安全威胁的不断演变，以及在用技术基础设施的日趋复杂。

业务日渐数字化，以数字为中心，且相互联系，安全风险的复杂性和多样性随之指数级上升。传统信息安全方法中，安全责任由IT部门或安全团队一力承担。事实证明，这种方法已不足以应对当今企业面临的独特安全挑战。对数据的依赖和使用令企业成为了网络犯罪分子的目标，也使得认为聘用CISO就可以坐等所有安全难题得到解决的想法成了危险的安慰剂。

若在大型企业中实施信息安全，我们会在运营部门或支持部门中找寻安全支持者。对网络安全领域表现出一定兴趣的员工通常会在自愿的基础上被赋予支持角色。就好像防火监查员，他们会接受额外的培训，在火灾发生时承担额外的责任。

幸而，BISO的职能现在得到了更为正式的认可，是大型企业实现安全战略的关键。

CISO和BISO都是企业里负责管理和实施信息安全策略的角色，但二者的职能完全不同。

CISO负责设立信息安全计划的目标，这些目标应从整体业务目标中确定。他们通常是高级管理人员，监管企业的整个信息安全计划，负责确定实现安全目标的战略。CISO在制定和实现安全目标方面职能广泛：确定企业要采用哪些安全控制措施，要达到何种标准，要采取哪些策略、流程和举措。

确定信息安全衡量方式和如何识别和管理信息安全风险的责任也落在CISO的身上。同时，他们还必须确保符合内部和外部利益相关者的要求，应对新兴威胁和技术。

CISO的重点放在企业总体安全态势上，要确保整个企业都了解这个方面。从企业高层到底层，CISO确保安全战略与业务目标相一致，并以能将业务（包括高管团队）带上安全旅程的方式沟通协调。

CISO不好当，必须具备很多硬技能，比如风险管理和技术理解能力。但软技能往往才是最难发掘和培养的。CISO最重要的技能是沟通能力。沟通就是倾听，而清晰阐明（战略）愿景至关重要。

沟通战略的能力是所有伟大领袖都具备的基本技能。想想你认识的或者历史上积极正面的领导者。他们的长处之一就是有效传达其愿景的能力。无论靠写的还是说的，他们不仅很清楚自己需要达到什么愿景，还知道怎么传达这个愿景，如何制定达成愿景的策略。

BISO通常设置在企业特定业务单位或部门里，与各业务单位的领导协作评估和管理特定于该单位的信息安全风险。

BISO必须与CISO和其他安全团队紧密合作，实现高级领导团队确定的目标、愿景和安全控制措施。该角色的主要职责是确保合规和推动每个领域和整个企业的安全意识文化普及。其重点是将企业的信息安全战略转化为实际的操作步骤，协调安全与单位特定需求和目标，并向每个单位的领导提供安全问题的相关专业知识。

CISO职能广泛且更具战略性，监管企业的总体安全计划，而BISO重在特定业务单位或部门，确保安全措施符合该单位的需求。

通往CISO的职业路线或许比以前清晰得多，而BISO职位更令人兴奋的地方在于，该职位意味着未来CISO可能不仅仅来自IT部门。今天的BISO和未来的CISO就是在人力资源、风险、财务、运营和设施部门工作的员工。这会引发我们对于网络安全和如何参与网络安全及我们所属企业的广泛（和深入）思考。

BISO过去是支持者，但或许也是我们一直期待的未来安全卫士。

* 本文为nana编译，原文地址：https://www.tripwire.com/state-of-security/ciso-biso-whats-your-next-role
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。