美國聯邦政府首席信息安全官制度概況

首席信息安全官(CISO)的概念起源自美國，指的是一個組織將信息安全職能從傳統的信息技術部門獨立出來，在管理層中指定專人全職負責所在組織的信息安全工作。一名稱職的CISO 通常需要具備專業技術能力、對業務的深度理解力、戰略領導力，以及對信息安全的行業洞察力。自 21 世紀初開始，由首席信息安全官及其管理機構全面負責信息安全工作已逐漸成為美國政府部門的合規要求和私營領域的通行做法。

一、美國 CISO 制度發展歷程

CISO 屬于典型的高級復合型人才，需要具備信息安全知識、豐富的工作經驗，而且尤為重要的是必須具備業務溝通的能力。CISO 對組織的業務發展和安全保障發揮關鍵作用，其所做出的信息安全決定會直接影響到所在組織的工作效率和運營成本。CISO 制度的建立是信息安全工作的重要進展。

在首席信息官(CIO)制度的基礎上衍生發展。美國的 CISO 制度是在其 CIO 制度基礎上衍生發展而來的。自 20 世紀 80 年代起，美國信息化建設快速發展，信息資源管理進入國家議程，加強信息建設戰略統籌的需求日益凸現。1996 年，美國通過了《信息技術管理改革法》，正式在法律上對 CIO 制度進行了明確，同時要求成立 CIO 委員會，負責指導和協調 CIO 相關工作。CIO 的職責主要是協助政府部門主要負責人開展信息化建設，完成信息資源管理工作。正是在 CIO 制度實施和發揮作用的過程中，逐漸出現了統籌信息安全規劃、管理和實施的需求。

填補信息安全管理中的結構性缺位。在信息化前期發展階段，無論是政府部門還是私營企業都在信息化建設方面進行了大量投入，但其關注點往往在于如何建設更有優勢的 IT 解決方案，而保護系統和網絡安全則淪為次要的目標。在此背景下，大多數組織的信息安全工作由信息技術部門的少數技術專家負責承擔，各組織常會忽略安全工作中的管理部分，且很少實施安全責任制。隨著技術的發展和安全威脅的增加，安全風險引發廣泛關注。聯邦信息系統安全問題從 20 世紀九十年代后期就一直被列為美聯邦政府最嚴峻的風險挑戰之一，其中專業人員與機構的缺失導致信息安全管理工作中出現的結構性缺位愈發顯著。各界認識到任，何一個組織若想確保安全性，必須將安全職責提升到管理層，設立信息安全責任人的重要性和必要性日益成為共識。尤其是在“9.11”事件后，2001 年 10 月通過的《愛國者法》規定，所有聯邦 IT 部門必須聘用一名專職 IT 安全人員，幫助行政領導更好地履行安全職責。

以立法方式正式確立 CISO 職責。2002 年《聯邦信息安全管理法》(FISMA)明確規定，聯邦政府各部門負責人指定一名 CIO，再由 CIO 指定一名高級信息安全官員，負責承擔 CIO 的信息安全職責；具備履職責所需的專業資質，包括培訓和經驗等方面；以信息安全職責為主責；以及領導一個具備相應任務和資源的辦公室。該職位在實際工作中通常被稱為 CISO。至此，首席信息安全官制度以立法形式正式得以確立。2014 年修訂后的 FISMA 繼續保留了關于這一高級信息安全官員的職權。根據 FISMA的規定，聯邦政府各部門可根據各自的具體情況決定本部門的信息安全工作匯報結構，但最終由部門主要負責人作為第一責任人，為本部門信息安全工作負總責。

二、CISO 的職責任務與組織協調

FISMA 要求聯邦政府各部門將信息安全任務指派由各自的 CISO 負責，但對于該項職責如何組織和落實并無統一要求。FISMA 只是羅列出了各部門的信息安全職責，并鼓勵各部門按照各自的職能、資源和能力，制定符合自身特點的全部門要求，以實現對 FISMA 的合規性。

由于各部門職能任務不同，各 CISO 的角色也各不相同。有的 CISO 負責的是本部門的全部信息安全任務，而有的則需要與不同的運營中心合作，或是需要承擔信息安全以外的任務，以推動實現組織的優先事務。盡管 FISMA 允許存在此類細微的差別，但 CIO 和 CISO 在法律層面需要對本部門信息安全承擔最終責任，因此明確其所承擔的信息安全職責是CISO 開展工作的前提。

2017 年 5 月，時任美國總統特朗普發布第13800 號總統令，要求聯邦政府各部門必須實施美國國家標準與技術研究院(NIST)頒布的《改進關鍵基礎設施網絡安全框架》(CSF)標準。為滿足相關政令和標準對政府部門的網絡安全要求，美國首席信息安全官委員會(CISO Council)于 2018 年 6 月發布了《CISO 手冊》，對 CISO 應承擔的信息安全工作進行了規范，幫助 CISO 了解網絡安全法律、政策、工具和資源，促進網絡安全體系建設和協調合作。根據具體部門不同，信息安全任務可能全部由 CISO負責承擔，或由其承擔其中的部分職責。根據美國關于 CISO 的調研統計，確有部分 CISO 在實際工作中也需要承擔非安全的職責，如擔任 CIO 副職，進行隱私事件響應，或處理受控非涉密(CUI)相關工作等。各部門需要承擔的信息安全職責包括以下幾方面內容。

聯邦政府各部門須遵守的內容包括：一是由總統發布的行政令或總統備忘錄，以及管理預算辦公室(OMB)所發布的政策或指南。總統所發布的政令通常都會配套 OMB 的指南和實施時間表。二是國家標準與技術研究院(NIST)發布的最低安全要求和標準。三是國土安全部(DHS)發布的相關操作指令，以響應某個已明確存在或可能存在的信息安全威脅、漏洞或風險。

聯邦政府各部門必須制定并維持能夠完成以下任務的全部門級別信息安全計劃：本部門必須能夠依照 NIST 發布的標準對資產面臨的信息安全風險進行評估，并確定恰當的保護級別。信息安全保護措施實施之后，必須定期進行測試和評估，以確保合規性；本部門必須制定并維持信息安全政策、規程以及控制措施，應對所有適用的要求；本部門必須遵守聯邦報告要求，包括修復活動的行動計劃與進度情況報告；本部門必須制定能夠確保信息系統運行連續性的計劃和規程；本部門必須確保信息安全人員能夠接受培訓，所有部門人員均能遵守部門信息安全的相應要求。

各部門的信息安全職責還包括：一是在規定的時限內向美國計算機應急響應組織(US-CERT)報告安全缺口及重大安全事件。按照 OMB 的要求，各部門需要在發現安全或隱私事件 1 小時內向 USCERT 報告；按照 FISMA 的要求，各部門需要在發現重大安全事件 7 天內向國會進行報告。二是確保CISO 具備足夠的專業資質，能夠領導全部門的信息安全工作，落實網絡安全解決方案，確保其辦公室能夠指揮網絡安全相關任務并進行響應的資源調配。

聯邦網絡安全工作是多方面的，CISO 必須根據不斷變化的政策、要求和標準，調整其所在部門的網絡安全計劃。CISO 面對的網絡安全風險主要分為兩大類：一是風險管理，二是政策與計劃的落實。在風險管理方面，美國第 13800 號行政令要求聯邦政府各部門必須落實 NIST 頒布的 CSF 標準。因此各部門 CISO 風險管理的核心要務即是用好 CSF 標準，將其納入所在部門網絡安全風險識別、評估和管理的系統過程中。在政策與計劃落實方面，由于網絡安全態勢瞬息萬變，導致網絡安全應對要求隨之改變，各部門 CISO 必須快速將這些變化對應到本部門內部已有的政策，確認政策的有效性并適時更新相應的政策要求。

為確保 CISO 之間的組織協調，美國聯邦政府還在聯邦 CIO 委員會(CIO Council)下設了聯邦首席信息安全官委員會(CISO Council)，負責組織跨部門的 CISO 協同和溝通。聯邦 CISO 委員會的職責是通過制定 IT 安全政策、網絡安全人員招聘與培訓、最佳實踐共享，以及共用服務推廣等工作，以改進聯邦政府的整體網絡安全水平。當前，聯邦 CISO 委員會的戰略關注領域主要包括身份管理、綜合風險評估與框架、漏洞響應、共用服務，以及績效測度等。

CISO 委員會主席由白宮任命的聯邦 CISO 擔任，副主席由委員會成員選舉產生。聯邦 CISO 設在管理與預算辦公室，主要向首席信息官進行匯報。美國歷史上首位聯邦 CISO 是 2016 年 9 月 8 日由奧巴馬政府任命的退役空軍準將格雷戈里·陶希爾(GregoryJ. Touhill)。這一職位的設立是為了落實 2016 年初發布的《網絡安全國家行動計劃》(CNAP)，目的是推動整個聯邦政府網絡安全政策、規劃和實施。值得注意的是，這一任命是在美國人事管理辦公室(OPM)數據泄露事件調查報告發布第二天公布的。該報告聲稱，如果聯邦政府采取了到位的基本安全控制措施，OPM 事件本可以避免發生。可見，設立聯邦 CISO 職位是美國意在落實政府信息安全策略、避免發生重大安全事件的一項重要舉措。現任聯邦CISO 是 2021 年初被任命的克里斯·德魯沙(ChrisDeRusha)。他曾擔任過密歇根州首席安全官，并曾在拜登競選團隊擔任網絡安全主管，在國土安全部、密歇根州以及福特公司擔任過網絡安全職務，具有聯邦政府、州政府，以及私營領域安全工作經驗。

三、CISO 的培養和能力要求

CISO 是典型的復合型人才，其具有的業務能力和專業素養往往難以通過一般化的培訓就能獲得。國際上也有若干針對 CISO 的培訓和資質認證。其中比較知名的是美國網絡安全認證組織國際電子商務顧問委員會(EC-Council)推出的“注冊首席信息安全官”(CCISO)。CCISO 是對“根據所在組織的目標制定并實施信息安全管理策略所需技能”進行認證的資質認證。該資質已通過美國國家標準學會(ANSI)的認可，符合 ANSI/國際標準化組織(ISO)/國際電工委員會(IEC) 17024 人員認證認可標準。

按照 CCISO 的認證標準，其重點考量的是人員的技術知識、行政管理能力，以及財務管理能力。該認證更強調技術的應用，而非技術本身，并且比較重視真實世界的經驗。獲得 CCISO 認證的基本流程與當前大多數信息安全認證類似，需要滿足兩個條件，一是通過考試，二是需要具備一定實踐工作經驗。

CCISO 所考察的知識和工作經驗包括 5 個域：1. 治理、風險與合規；2. 信息安全控制和審計管理；3. 安全項目管理與運營；4. 信息安全核心能力；5. 戰略規劃、財務、采購以及第三方管理。這 5 個領域可以與美國標準與技術研究院(NIST)發布的 NICE網絡安全人力框架(NCWF)進行對應。NCWF 是關于各類網絡安全從業人員分類和專業能力標準框架。該框架包括 7 個大類，其中“監管與開發”類主要對應的是以領導、管理等工作為主責的人群。CCISO 與NCWF 的對應主要就是體現在這一類別，相應的培訓課程涉及法律咨詢、戰略規劃、政策制定、信息系統安全運營、安全項目管理等內容，其中約 95% 均可對應至 NCWF。

四、結語

美國是最早實行 CISO 制度的國家，在 CISO 體系建設方面具有一些值得借鑒的地方：一是定位清晰，以立法形式確定了公共領域內聯邦政府各部門設立 CISO 的要求，保障了 CISO 的合法性和權威性，提升了信息安全事務在信息化乃至部門整體工作日程中的地位和話語權。二是職責明確，CISO 的職能任務以及所需要遵照執行的各項法律、政策、命令和標準等，不僅有原則性要求，且普遍配套有實施細則、考核指標和時間進度要求，比較成體系，為CISO 依規履職提供了依據和指導。

我國 2017 年印發的《黨委(黨組)網絡安全工作責任制實施辦法》第三條明確規定，各級黨委(黨組)對本地區本部門網絡安全工作負主體責任，領導班子主要負責人是第一責任人，主管網絡安全的領導班子成員是直接責任人。《網絡安全法》規定，關鍵信息基礎設施的運營者應設置專門安全管理機構和安全管理負責人。這說明我國的 CISO 制度建設已經從法律方面有了根本遵循，成為各單位網絡安全工作中的重要組成部分。下一步，應在借鑒已有經驗的基礎上，切實強化 CISO 的培養和制度建設工作，為我國的網絡安全體系建設提供更有力的管理保障。