中国首席安全官 （CSO） 调研报告 安全内参 行业安全研究中心 2018年9月 摘 要  本次调研共收集到来自不同行业政企机构的调研问卷 129份。 从被调研者所属行业来看， IT和互联网行业占比最高，分别 为25.6%和13.2%。其次，通信行业占比为 10.9%。  从CSO岗位的设置情况来看：正式设立 CSO或相应级别岗 位的政企机构约为 30.2%；20.9%的机构正在考虑设置；而近 一半的机构，目前完全没有设立 CSO或相应的岗位。  从CSO的汇报对象来看： 27.2%的CSO的汇报对象是公司 CEO或机构一把手； 12.4%的CSO汇报对象是技术副总裁； 41.1%的CSO的汇报对象是分管领导。  在大中型企业中 ， 百万级规模 网络安全投入是主流。 38%的万 人以上规模的政企机构 投入超过 5000万； 25%的3000 -5000 人规模的政企机构投入超过 5000万。  八成以上的政企机构在过去两年内对网络安全的投入都在增 加。 其中， 明显增加的占比为 42.6%； 稍有增加的占比为 41.9%； 但是，仍有 15.5%的机构没有增加网络安全的投入。  CSO对网络安全团队建设最大 挑战的看法： 32.6%的CSO认 为是待遇薪资太低留不住人才， 29.5%的CSO认为是网络安 全人才稀缺； 20.9%的CSO认为是安全人才的上升通道不畅。  CSO评价自身所在机构的网络安全建设水平处于滑动标尺模 型的阶段 ：仅有 0.8% CSO认为达到了进攻反制阶段； 而 41.1% 的CSO认为仅仅是达到了被动防御的建设阶段。认为自己所 在机构能达到主动防御阶段水平的被调研者约占 27.1%。  CSO对机构自身的网络安全建设水平的看法 ：仅有 4.7%的 CSO认为已经达到了国际先进的水平；认为自己达到了国内 领先和行业领先水平的分别占 15.5%和20.9%。  CSO对内部威胁的看法： 43.4%的CSO认为“内部”威胁过 去不是重点，目前重视度在增加； 37.2%的CSO认为内部威 胁已经是目前防护的重点之一； 13.2%的CSO认为，针对内 部威胁缺乏行之有效的措施。  CSO对网络安全工作转型的主要 聚焦于： 29.5%的CSO们认 为是 “需从事后补救式防护转向三同步” ； 其次，27.9%的CSO 认为是“需要从安全合规转向安全能力建设”，选“需要从边 界防护转向主动立体防护”占比 21.7%。  CSO对未来网络安全建设的看法 ：约七成的 CSO认为，从购 买安全产品逐步转向购买安全服务 ；40.3%的CSO认为未来 在网络安全建设时会与安全公司联合运营； 还有 29.5%的CSO 认为，在未来网络安全建设时会采用安全服务外包。  CSO关注的网络安全技术创新领域： 72.1%的CSO选择了 “大 数据”，排名第一；其次是“人工智能”， 65.9%的CSO看好 这一领域；“用户行为分析”排名第三，看好率为 55.8%。 关键词： 首席安全官、首席信息官、 CSO、网络安全 目 录 第一章 CSO现状与面临的挑战 ................................ ............. 3 一、 CSO岗位的设立 ................................ ................................ ......... 3 二、 CSO的行政级别 ................................ ................................ ......... 4 三、 CSO的汇报对象 ................................ ................................ ......... 5 四、 运营与管理中的困难 ................................ ................................ .. 6 第二章 网络安全投入与团队建设 ................................ .......... 8 一、 网络安全的投入情况 ................................ ................................ .. 8 二、 安全团队的建设规模 ................................ ................................ 10 三、 安全团队的建设难点 ................................ ................................ 11 第三章 CSO对机构安全建设的自评 ................................ ... 12 一、 网络安全发展阶段 ................................ ................................ .... 12 二、 网络安全建设水平 ................................ ................................ .... 14 三、 对内部威胁的看法 ................................ ................................ .... 14 第四章 CSO对网络安全趋势的认知 ................................ ... 16 一、 网络安全工作的转型 ................................ ................................ 16 二、 网络安全服务的普及 ................................ ................................ 17 三、 网络安全技术的创新 ................................ ................................ 18 第五章 总结 ................................ ................................ ............ 19 附录 1 2018中国首席安全官调查问卷 .............................. 20 附录 2 安全内参 ................................ ................................ .. 21 1 研究背景 CSO，即 Chief Security Officer ，意为首席安全官或 首席安全 信息官，主管一个机构 内部的网络安全事务。 这一关键性职务 目 前在欧美国家的 大型政企机构中 已经普遍设置， 并且具有 较高的 内部权力。同时，这 一职务在国内也正在得到越来越多的认可与 重视。 为了深入了解国内大型政企机构网络安全建设现状，了解中 国各大政企机构首席安全官的 工作环境，国内权威网络安全咨询 平台《安全内参》与 奇安信集团的行业安全研究中心展开联合研 究， 对不同行业政企机构的首席安全官或安全负责人进行 了一次 深入的调研，并形成此份研究 报告。 考虑到国内很多政企 机构的网络安全主管人员并 不一定会被 任命为首席安全官 ，或相关岗位有其他名称，所以，本次调研所 针对的对象并不严格限定 为CSO或首席安全官，而 包括首席安 全官、首席信息官（ CIO）、网络安全主管 、网络安全分管领导、 网络安全主要负责人 等。 被调研人员一定为 该机构网络安全工作 的主管领导或主要负责人， 但不一定 是专职领导 或负责人。 本次调研共收集到 来自不同行业政企机构的调研问卷 129 份。从被调研者所属行业来看， IT和互联网行业占比最高，分别 为25.6%和13.2%；IT和互联网是以网络 为基础发展起来的，其 对网络安全的 认知与感知度相对较高。其次， 通信行业占比为 2 10.9%；教育行业占比为 7.8%。具体分布情况如 下图所示。 以这 129份调研问卷为 基准，本次报告在首席安全官的现状 与面临的 挑战、 网络安全投入 与团队建设 、CSO对机构安全建设 的自评以及 CSO对网络安全趋势的认知 等方面进行了深入的分 析与研究 。 3 第一章 CSO现状与面临的挑战 CSO，即 Chief Security Officer ，意为首席安全官或首席安全 信息官，主管一个机构内部的网络安全事务。这一关键性职务目 前在欧美国家的大型政企机构中已经普遍设置， 并且具有较高的 内部权力。同时，这一职务在国内也正在得到越来越多的认可与 重视。 本章主要对政企机构的 首席安全官的 岗位设置情况 、行政级 别、汇报对象 以及运营与管理中的困难 进行分析。 一、 CSO岗位的设立 政企机构设置 CSO这个岗位，通常