今年早些时候的第八届年度全球信息安全调查中有一个问题值得我们探讨一番，那就是首席信息安全官应该像谁报告工作进度。这个问题在受访者中相当大的惊讶。

　　有12847 名相关人士接受了调查，其中有6.5%的受访者认可自己是首席信息官的身份，于此同时，当CISO被问及他们应该像谁汇报工作时，大多数的CISO表示他们向CEO或是董事局报告工作情况，不到1/4的CISO表示他们想CIO汇报工作。

　　接下来的调查结果让我们质疑者是不是一件好事。对于汇报制度的结果让人很是惊讶。

　　安全风险专家Robert Alberti评论道：“CIO和CISO总是处于一个敌对的关系下，确实应该是这样的，在我看来，CISO永远不要向CIO汇报工作。”

　　Robert为此解释到：CIO的角色定位是在操作方面，他们的职责是保证程序的运行;CISO的角色定位则是降低IT风险，如果CISO向CIO汇报工作，风险就会转到IT运维上。

　　Robert对CIO和CISO的关系表达了自己的看法：“CIO要是能够把握安全的话，不用说肯定很好，就与汽车修理工如果懂得经济效益一样，但是这并不可能，而且短时间也没法实现，因为CIO要做的事有很多，所以CISO作为一个独立的IT职位被列出。CIO和CISO都应该加强各自的强项，他们之间的差距是不会被消除的。”

　　Robert总结说：“企业高层真正要做的事是如果在CISO和CIO的建议中，作出适当的判断，判断什么风险是可以接受，什么风险应该避免。”

　　毫无疑问，有很多人认为CIO和CISO应该要分开单独设立，其中就包括西雅图的Providence健康服务组织的首席安全官 Eric Cowperthwaite，在该组织的四年半的时间里，他一共经历了三个boss：首席财务官、首席信息官和现在的首席风险官，谈及与CIO的工作经历他表示虽然他与CIO处在一个敌对的位置，但是他们俩还是一起完成了很多工作。

　　Eric表示：“在刚开始，我向CFO汇报工聊报这的那个的作，但是由于全球经济危机，高管就取消了我向CFO报告的制度，我们组织被指控侵犯了联邦隐私法，我们当时正在进行一项健康计划并经营了一些医院，但是2005年和2006年的电子备份信息和病人资料却丢失了，组织就不得不找人来保障企业的信息安全。”

　　Eric同时表示CISO如果向更高层的领导汇报工作的话，时间是非常受限制的，CFO或是CEO每个月只能给你腾出15分钟时间来听你的汇报，你报告需要的时间远不止这些，所以你就需要向一个中层领导来汇报你的工作和问题，CIO就很适合，然后他们再向高层汇报相关问题，考虑到时间，他认为向CIO汇报工作是一个既有效率又正确的做法。

　　说完这个汇报制度我们就来看看CIO和CISO之间敌对的逻辑关系，中西部一个政府CIO Eric Baer表示不能让CIO和安全完全脱离。

　　“尽管我同意CISO应该要向CIO汇报工作，但是CIO不能完全将安全这一职责丢开，只关心程序是否正常运行的时代已经过去了，在现今，安全操作相当重要。”

　　Baer问到：“我们可以的对我们忽略或是打折扣的安全事故咬牙切齿，但是安全不是在操作业务层面，那又应该在哪呢？”

(责任编辑：)