每日一书丨CSO进阶之路首次曝光

Posted 2022-01-27 《新程序员》编辑部

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了每日一书丨CSO进阶之路首次曝光相关的知识，希望对你有一定的参考价值。

2014年2月27日，中央网络安全和信息化领导小组宣告成立。在这个小组的名字中， “网络安全”被放置在“信息化”的前面，标志着中国组织发展进入新时代，明确了以安全保发展、以发展促安全的新理念。

在这一新阶段，不同于以往一穷二白的创业期，中国企业在业务上激进开拓，需要通过制度和流程的保证，进行安全的驱动，像阿里巴巴的目标一样，要成为“经营101年”的企业。这不仅表现在经营利润上要能够支撑发展，更重要的是在面临危机和风险时不能突然死掉。

因此，未来CSO在公司中扮演的角色不可或缺。《CSO进阶之路：从安全工程师到首席安全官》应运而生，尝试解决以下四个问题：

第一，未来企业需要什么样的首席安全官？

第二，如何认识和处理企业面临的危机？

第三，在安全要求下，如何在组织中构建一个全面的安全体系？

第四，如何面对未知风险对企业经营的挑战？

编辑推荐

（1）众多资深专家的多年经验，着力描绘的是网络安全从业者的系统能力和全局视角，得到了行业专家的高度评价。

（2）内容涵盖了事件处置、危机应对、攻防对抗、调查溯源、运维管理、企业内控、公司治理、有效沟通、安全生态等多个维度的职业秘籍。

如何阅读本书

本书分为四篇，第一篇开宗明义地介绍了网络安全与信息化的内涵，让读者深刻理解信息技术对人们生产生活方式的影响、互联网对世界和社会基本面的改造，理解在新的格局和环境下安全与企业发展的关系，以及首席安全官的职业路径与技能图谱。

第二篇主要阐述CSO的一阶技能。对一个首席安全官新人来说，从组织内部安全事件和事故的处置方面入手是比较高效的。本篇介绍了网络安全事件处置的标准管理方法、安全事件分类分级机制的设定、安全事件的处理和回顾等内容，同时阐述了企业危机应对的机制设计、业务连续性管理和灾难恢复计划、应急与危机处理的实践案例等，从互联网企业到金融业务，从拒绝服务攻击到隐私泄露，运用实例加深读者对危机应对机制的理解。

第三篇则是面向进阶期的首席安全官来讲解的，重点阐述了贯穿企业业务生命周期的安全能力保障图谱，内容涉及风险管理和内控机制的设计和实施，帮助组织发现潜在的威胁和弱点，首席安全官如何取得企业经营者的支持并合理有效地分配资源，以及以网络安全能力体系为核心，构建全面的防护机制的方法和过程。

第四篇介绍成为首席安全官的高阶能力。不同于本书前面章节，本篇内容重点阐述首席安全官如何为处理未知的安全风险做准备，因为高阶的安全管理者时时面临的是非常规的网络安全问题。本篇内容主要涉及对未知风险的分类和描述，明确风险的来源与目标，以及应对未知风险的资源获取和分配原则；同时讨论了预警机制的建立—在第一时间得到未知风险的消息需要一整套过程和方法，还需要拓展网络安全的反制和威慑能力，最终实现对网络安全风险的可控可防。