CISO的最佳报告结构是什么？- 埃贡·Zehnder（Egon Zehnder）

由于网络安全风险管理已成为各行业公司的主要战略优先事项，因此CISO应该报告的问题同样重要。从历史上看，CISO向CIO报告，但是公司越来越考虑多种选择 - 从将CISO放置在风险或企业数据组中，再到让他们直接向CEO或董事会报告。尽管没有一种适合的答案，但我们可以为公司提供有关各种选择的利弊的指导。

选项＃1：向CIO报告

大多数CISO已向首席信息官（CIO）自Kal Bittianda称，由于网络安全位置是首次创建的，而且大多数CISO都会称呼CIO Boss。，，，，执行招聘人员Egon Zehnder的北美技术实践小组负责人。

优点：CIO是C-Suite的成员，他最能理解网络安全问题，在许多情况下，正在向董事会报告该主题。CISO的大部分支出与之直接相关。比蒂安达说，在许多组织中改变这种方法将有颠倒的代价。

缺点：尽管创建了CISO角色以保护IT系统和数据，但“角色的很大一部分都超出了它，” Sandra Konings与BDO网络安全领域的咨询。CISO必须考虑员工的意识和教育，制定安全政策和程序以及文化变革。Konings说：“当CISO向CIO报告时，可能很容易影响它。”“但是影响其他任何人并不容易。”向CIOS报告的CISO也可能会被迫关注技术解决方案，而牺牲了更全面的解决方案。最重要的网络安全漏洞是组织中的人类，而不是其技术堆栈。Dressler，Amery＆Ross专门从事网络安全问题的校长丹佛·爱德华兹（Denver Edwards）说，属于CIO的COVERCONFORME CONDEION认为网络安全只是IT问题，而不是企业问题。David F. Katz是Nelson的隐私和信息安全实践小组的合作伙伴和领导者，当CIO必须加权安全性与其他优先事项（例如网络，应用程序开发，基础设施支持和外包）时，也可能存在利益冲突。Mullins Riley＆Scarborough。

选项＃2：向CRO报告

在过去的五年中，金融服务公司和大型跨国公司等一些组织选择将CISO置于首席风险官（CRO）之下。

优点：BDO Advisory的Konings说：“风险功能的作用是使董事会对公司的企业风险有更深入的了解，而不仅仅是财务风险，因此这是有道理的。”“这是一种监督功能，可以帮助确保每个人都做出正确的解决方案所需的工作。”

缺点：在许多公司中，CRO没有向CEO报告，因此这种报告结构可以使CISO与高级管理人员和公司战略进一步距离。Konings说：“在一家大型公司中，我们将CISO转移到了风险中，并且一年效果很好。”“但是不利的一面是，您离其他所有事物都太远了。”

选项＃3：向CFO报告

公司依靠金融下的任何数量的职能（它，风险管理，采购，税收，审计乐动app下载），并在那里将CISO放置。

优点：首席财务官可以在接近风险，向董事会报告的情况下了解，并可能就网络安全支出做出关键决定。尽管其他一些C级领导人为CFO霸主的成本为中心的重点感到不安，但Egon Zehnder的Bittianda指出，越来越多的CFO在其管理方法中正在发展，希望将来接管CEO角色。

缺点：当然，不利的一面是，许多首席财务官希望看到回报，尤其是如果他们激励同比收益增长。BDO Advisory的Konings说：“对于CISO来说，这可能是一个艰难的讨论，因为很难表现出网络安全投资的好处。”他们也可能缺乏足够的技术理解。

选项＃4：向CDO报告

首席数据官是一个相对较新的公司角色，通常专注于保存和扩大公司数据的价值，因此CISO在保护该数据方面的作用肯定是有重叠的。

优点：布雷斯勒（Amery＆Ross）律师事务所的爱德华兹（Edwards）说：“将公司数据视为资产并意识到公司的防御能力的CDO可能是负责信息安全的合适人选。”

缺点：CDO将其角色视为进攻性职位，利用数据来增加收入可能会与CISO冲突，CISO将其角色视为捍卫公司的宝贵信息资产。纳尔逊·穆林斯·莱利（Nelson Mullins）莱利和斯卡伯勒（Scarborough）的卡兹（Katz）说：“这设定了固有的冲突，最终结果是将CISO视为对业务目标的潜在敌意。”更重要的是，新的CDO可能无法给予网络问题的足够关注，从而限制了这种结构的有效性。爱德华兹说：“数据泄露变得如此普遍，需要全职关注。”“同时，如果公司拥有可以帮助获得市场份额的数据，那将是一个浪费的机会，但执行缓慢，因为CDO还有其他面对面的挑战。”此外，如果CDO不向首席执行官报告，这再次使CISO与组织领导层之间的鸿沟更大。

选项＃5：向GC/CLO报告

虽然不是广泛使用的方法，但一些公司选择将CISO从其下方移出并进入总法律顾问（GC）或首席法律官（CLO）的办公室。根据埃贡·Zehnder（Egon Zehnder）的比蒂安达（Bittianda）的说法，这通常发生在CEO认识到网络安全的批判性质，并认为GC是一个信任它的人。

优点：GC处理与信息治理和合规性有关的重要问题，并对公司的指导有一个很好的了解，因为它们经常担任董事会秘书。当发生网络安全事件时，它们也倾向于参与其中。与首席执行官甚至CFO不同，GC并不负担许多其他直接报告。

缺点：由于GC通常没有许多非法律直接报告，因此它们可能不是最好的经理。与操作问题相比，他们还更多地参与了情节安全活动，例如漏洞。

选项＃6：向首席执行官报告

三年前，IDC预测，有75％的CISO将向首席执行官报告，但这仍然是例外，而不是规则。这通常发生在以科技为中心的公司或遭受备受瞩目的网络挫折的公司中，并要求CISO是一个真实的CISO业务负责人。

优点：向首席执行官报告CISO角色的独立性，并可以使“关于实体内部较大的利益相关者之间可能出现的风险，资源，优先级和冲突有关的坦率和坦率的讨论”，尼尔森·穆林斯·莱利（Nelson Mullins Riley＆Riley＆）的卡茨说。士嘉堡。与董事会或其他一些有定期报告要求的监督委员会的虚线报告关系可以加强这种安排。

缺点：网络安全虽然高度优先，但在许多组织中并不是首席执行官职责的中心。“更多的原则直接向首席执行官报告Rumberger Kirk＆Caldwell的诉讼助理史蒂夫·柏林（Steve Berlin）说：“降低了高管专注于战略和组织领导的能力。CISO向首席执行官报告，但不属于管理团队的一部分仍然是从战略决策中删除的一步。BDO Advisory的Konings说：“在许多情况下，最好向管理团队的一员，可以向HE CIO报告，并可以向CISO提供必要的信息。”