文│中国信息安全测评中心 王星

首席信息安全官(CISO)的概念起源自美国,指的是一个组织将信息安全职能从传统的信息技术部门独立出来,在管理层中指定专人全职负责所在组织的信息安全工作。一名称职的CISO 通常需要具备专业技术能力、对业务的深度理解力、战略领导力,以及对信息安全的行业洞察力。自 21 世纪初开始,由首席信息安全官及其管理机构全面负责信息安全工作已逐渐成为美国政府部门的合规要求和私营领域的通行做法。

一、美国 CISO 制度发展历程

CISO 属于典型的高级复合型人才,需要具备信息安全知识、丰富的工作经验,而且尤为重要的是必须具备业务沟通的能力。CISO 对组织的业务发展和安全保障发挥关键作用,其所做出的信息安全决定会直接影响到所在组织的工作效率和运营成本。CISO 制度的建立是信息安全工作的重要进展。

在首席信息官(CIO)制度的基础上衍生发展。美国的 CISO 制度是在其 CIO 制度基础上衍生发展而来的。自 20 世纪 80 年代起,美国信息化建设快速发展,信息资源管理进入国家议程,加强信息建设战略统筹的需求日益凸现。1996 年,美国通过了《信息技术管理改革法》,正式在法律上对 CIO 制度进行了明确,同时要求成立 CIO 委员会,负责指导和协调 CIO 相关工作。CIO 的职责主要是协助政府部门主要负责人开展信息化建设,完成信息资源管理工作。正是在 CIO 制度实施和发挥作用的过程中,逐渐出现了统筹信息安全规划、管理和实施的需求。

填补信息安全管理中的结构性缺位。在信息化前期发展阶段,无论是政府部门还是私营企业都在信息化建设方面进行了大量投入,但其关注点往往在于如何建设更有优势的 IT 解决方案,而保护系统和网络安全则沦为次要的目标。在此背景下,大多数组织的信息安全工作由信息技术部门的少数技术专家负责承担,各组织常会忽略安全工作中的管理部分,且很少实施安全责任制。随着技术的发展和安全威胁的增加,安全风险引发广泛关注。联邦信息系统安全问题从 20 世纪九十年代后期就一直被列为美联邦政府最严峻的风险挑战之一,其中专业人员与机构的缺失导致信息安全管理工作中出现的结构性缺位愈发显著。各界认识到任,何一个组织若想确保安全性,必须将安全职责提升到管理层,设立信息安全责任人的重要性和必要性日益成为共识。尤其是在“9.11”事件后,2001 年 10 月通过的《爱国者法》规定,所有联邦 IT 部门必须聘用一名专职 IT 安全人员,帮助行政领导更好地履行安全职责。

以立法方式正式确立 CISO 职责。2002 年《联邦信息安全管理法》(FISMA)明确规定,联邦政府各部门负责人指定一名 CIO,再由 CIO 指定一名高级信息安全官员,负责承担 CIO 的信息安全职责;具备履职责所需的专业资质,包括培训和经验等方面;以信息安全职责为主责;以及领导一个具备相应任务和资源的办公室。该职位在实际工作中通常被称为 CISO。至此,首席信息安全官制度以立法形式正式得以确立。2014 年修订后的 FISMA 继续保留了关于这一高级信息安全官员的职权。根据 FISMA的规定,联邦政府各部门可根据各自的具体情况决定本部门的信息安全工作汇报结构,但最终由部门主要负责人作为第一责任人,为本部门信息安全工作负总责。

二、CISO 的职责任务与组织协调

FISMA 要求联邦政府各部门将信息安全任务指派由各自的 CISO 负责,但对于该项职责如何组织和落实并无统一要求。FISMA 只是罗列出了各部门的信息安全职责,并鼓励各部门按照各自的职能、资源和能力,制定符合自身特点的全部门要求,以实现对 FISMA 的合规性。

由于各部门职能任务不同,各 CISO 的角色也各不相同。有的 CISO 负责的是本部门的全部信息安全任务,而有的则需要与不同的运营中心合作,或是需要承担信息安全以外的任务,以推动实现组织的优先事务。尽管 FISMA 允许存在此类细微的差别,但 CIO 和 CISO 在法律层面需要对本部门信息安全承担最终责任,因此明确其所承担的信息安全职责是CISO 开展工作的前提。

2017 年 5 月,时任美国总统特朗普发布第13800 号总统令,要求联邦政府各部门必须实施美国国家标准与技术研究院(NIST)颁布的《改进关键基础设施网络安全框架》(CSF)标准。为满足相关政令和标准对政府部门的网络安全要求,美国首席信息安全官委员会(CISO Council)于 2018 年 6 月发布了《CISO 手册》,对 CISO 应承担的信息安全工作进行了规范,帮助 CISO 了解网络安全法律、政策、工具和资源,促进网络安全体系建设和协调合作。根据具体部门不同,信息安全任务可能全部由 CISO负责承担,或由其承担其中的部分职责。根据美国关于 CISO 的调研统计,确有部分 CISO 在实际工作中也需要承担非安全的职责,如担任 CIO 副职,进行隐私事件响应,或处理受控非涉密(CUI)相关工作等。各部门需要承担的信息安全职责包括以下几方面内容。

联邦政府各部门须遵守的内容包括:一是由总统发布的行政令或总统备忘录,以及管理预算办公室(OMB)所发布的政策或指南。总统所发布的政令通常都会配套 OMB 的指南和实施时间表。二是国家标准与技术研究院(NIST)发布的最低安全要求和标准。三是国土安全部(DHS)发布的相关操作指令,以响应某个已明确存在或可能存在的信息安全威胁、漏洞或风险。

联邦政府各部门必须制定并维持能够完成以下任务的全部门级别信息安全计划:本部门必须能够依照 NIST 发布的标准对资产面临的信息安全风险进行评估,并确定恰当的保护级别。信息安全保护措施实施之后,必须定期进行测试和评估,以确保合规性;本部门必须制定并维持信息安全政策、规程以及控制措施,应对所有适用的要求;本部门必须遵守联邦报告要求,包括修复活动的行动计划与进度情况报告;本部门必须制定能够确保信息系统运行连续性的计划和规程;本部门必须确保信息安全人员能够接受培训,所有部门人员均能遵守部门信息安全的相应要求。

各部门的信息安全职责还包括:一是在规定的时限内向美国计算机应急响应组织(US-CERT)报告安全缺口及重大安全事件。按照 OMB 的要求,各部门需要在发现安全或隐私事件 1 小时内向 USCERT 报告;按照 FISMA 的要求,各部门需要在发现重大安全事件 7 天内向国会进行报告。二是确保CISO 具备足够的专业资质,能够领导全部门的信息安全工作,落实网络安全解决方案,确保其办公室能够指挥网络安全相关任务并进行响应的资源调配。

联邦网络安全工作是多方面的,CISO 必须根据不断变化的政策、要求和标准,调整其所在部门的网络安全计划。CISO 面对的网络安全风险主要分为两大类:一是风险管理,二是政策与计划的落实。在风险管理方面,美国第 13800 号行政令要求联邦政府各部门必须落实 NIST 颁布的 CSF 标准。因此各部门 CISO 风险管理的核心要务即是用好 CSF 标准,将其纳入所在部门网络安全风险识别、评估和管理的系统过程中。在政策与计划落实方面,由于网络安全态势瞬息万变,导致网络安全应对要求随之改变,各部门 CISO 必须快速将这些变化对应到本部门内部已有的政策,确认政策的有效性并适时更新相应的政策要求。

为确保 CISO 之间的组织协调,美国联邦政府还在联邦 CIO 委员会(CIO Council)下设了联邦首席信息安全官委员会(CISO Council),负责组织跨部门的 CISO 协同和沟通。联邦 CISO 委员会的职责是通过制定 IT 安全政策、网络安全人员招聘与培训、最佳实践共享,以及共用服务推广等工作,以改进联邦政府的整体网络安全水平。当前,联邦 CISO 委员会的战略关注领域主要包括身份管理、综合风险评估与框架、漏洞响应、共用服务,以及绩效测度等。

CISO 委员会主席由白宫任命的联邦 CISO 担任,副主席由委员会成员选举产生。联邦 CISO 设在管理与预算办公室,主要向首席信息官进行汇报。美国历史上首位联邦 CISO 是 2016 年 9 月 8 日由奥巴马政府任命的退役空军准将格雷戈里·陶希尔(GregoryJ. Touhill)。这一职位的设立是为了落实 2016 年初发布的《网络安全国家行动计划》(CNAP),目的是推动整个联邦政府网络安全政策、规划和实施。值得注意的是,这一任命是在美国人事管理办公室(OPM)数据泄露事件调查报告发布第二天公布的。该报告声称,如果联邦政府采取了到位的基本安全控制措施,OPM 事件本可以避免发生。可见,设立联邦 CISO 职位是美国意在落实政府信息安全策略、避免发生重大安全事件的一项重要举措。现任联邦CISO 是 2021 年初被任命的克里斯·德鲁沙(ChrisDeRusha)。他曾担任过密歇根州首席安全官,并曾在拜登竞选团队担任网络安全主管,在国土安全部、密歇根州以及福特公司担任过网络安全职务,具有联邦政府、州政府,以及私营领域安全工作经验。

三、CISO 的培养和能力要求

CISO 是典型的复合型人才,其具有的业务能力和专业素养往往难以通过一般化的培训就能获得。国际上也有若干针对 CISO 的培训和资质认证。其中比较知名的是美国网络安全认证组织国际电子商务顾问委员会(EC-Council)推出的“注册首席信息安全官”(CCISO)。CCISO 是对“根据所在组织的目标制定并实施信息安全管理策略所需技能”进行认证的资质认证。该资质已通过美国国家标准学会(ANSI)的认可,符合 ANSI/国际标准化组织(ISO)/国际电工委员会(IEC) 17024 人员认证认可标准。

按照 CCISO 的认证标准,其重点考量的是人员的技术知识、行政管理能力,以及财务管理能力。该认证更强调技术的应用,而非技术本身,并且比较重视真实世界的经验。获得 CCISO 认证的基本流程与当前大多数信息安全认证类似,需要满足两个条件,一是通过考试,二是需要具备一定实践工作经验。

CCISO 所考察的知识和工作经验包括 5 个域:1. 治理、风险与合规;2. 信息安全控制和审计管理;3. 安全项目管理与运营;4. 信息安全核心能力;5. 战略规划、财务、采购以及第三方管理。这 5 个领域可以与美国标准与技术研究院(NIST)发布的 NICE网络安全人力框架(NCWF)进行对应。NCWF 是关于各类网络安全从业人员分类和专业能力标准框架。该框架包括 7 个大类,其中“监管与开发”类主要对应的是以领导、管理等工作为主责的人群。CCISO 与NCWF 的对应主要就是体现在这一类别,相应的培训课程涉及法律咨询、战略规划、政策制定、信息系统安全运营、安全项目管理等内容,其中约 95% 均可对应至 NCWF。

四、结语

美国是最早实行 CISO 制度的国家,在 CISO 体系建设方面具有一些值得借鉴的地方:一是定位清晰,以立法形式确定了公共领域内联邦政府各部门设立 CISO 的要求,保障了 CISO 的合法性和权威性,提升了信息安全事务在信息化乃至部门整体工作日程中的地位和话语权。二是职责明确,CISO 的职能任务以及所需要遵照执行的各项法律、政策、命令和标准等,不仅有原则性要求,且普遍配套有实施细则、考核指标和时间进度要求,比较成体系,为CISO 依规履职提供了依据和指导。

我国 2017 年印发的《党委(党组)网络安全工作责任制实施办法》第三条明确规定,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。《网络安全法》规定,关键信息基础设施的运营者应设置专门安全管理机构和安全管理负责人。这说明我国的 CISO 制度建设已经从法律方面有了根本遵循,成为各单位网络安全工作中的重要组成部分。下一步,应在借鉴已有经验的基础上,切实强化 CISO 的培养和制度建设工作,为我国的网络安全体系建设提供更有力的管理保障。

(本文刊登于《中国信息安全》杂志2021年第11期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。