2001年9月11日，兩架被劫持的飛機(jī)撞向紐約曼哈頓的高塔，隨即，世貿(mào)中心雙子塔帶著滾滾的火球化為一片廢墟。21世紀(jì)初這場重大的災(zāi)難，除了對(duì)美國政治、軍事、經(jīng)濟(jì)造成巨大影響之外，直接的是對(duì)辦公室設(shè)在世貿(mào)大樓上的450家企業(yè)造成了毀滅性的影響。其中著名的公司包括美洲銀行、朝日銀行、德意志銀行、國際信托銀行、肯珀保險(xiǎn)公司、馬什保險(xiǎn)公司、帝國人壽保險(xiǎn)公司、蓋伊·卡彭特保險(xiǎn)公司、坎特·菲茲杰拉德投資公司、摩根士丹利金融公司、美國商品期貨交易所等。數(shù)以百計(jì)的知名公司在這次災(zāi)難后一蹶不振，更多的是銷聲匿跡，破產(chǎn)倒閉。其中，摩根士丹利損失嚴(yán)重，因?yàn)樗�在世貿(mào)中心總共租用了29.8萬平方米的辦公用地，有超過2687名員工。不過，讓人驚奇的是這家美國第二大投資銀行在9·11事件后，短短兩天內(nèi)便恢復(fù)了業(yè)務(wù)。其秘訣是，該公司在美國新澤西州設(shè)立了完整的業(yè)務(wù)災(zāi)難備份以及恢復(fù)系統(tǒng)。在災(zāi)難發(fā)生后的48小時(shí)內(nèi)，摩根士丹利成功啟動(dòng)了災(zāi)難備份系統(tǒng)，使其業(yè)務(wù)得以恢復(fù)。
自2001年以后，全球很多大型企業(yè)的管理者在反思：面對(duì)類似9·11這類對(duì)企業(yè)能造成毀滅性影響的風(fēng)險(xiǎn)，自己的企業(yè)是否也能像摩根士丹利一樣成功重啟？自己的企業(yè)內(nèi)部是否可以有人或機(jī)制能夠預(yù)先識(shí)別此類風(fēng)險(xiǎn)，并實(shí)施一定的保護(hù)和防御措施，終確保企業(yè)在這樣的重大未知風(fēng)險(xiǎn)來臨之時(shí)可以永續(xù)經(jīng)營？于是CSO這個(gè)概念在企業(yè)運(yùn)營結(jié)構(gòu)中被反復(fù)提出。
所謂CSO（Chief Security Officer，首席安全官），與CIO、CFO、CTO一樣，理論上這是一個(gè)企業(yè)內(nèi)部的高階職位，直接向CEO或董事會(huì)匯報(bào)，綜合管理企業(yè)面臨的安全問題。越來越多面臨種種壓力的企業(yè)認(rèn)識(shí)到，必須把安全問題置于更重要的位置。這標(biāo)志著安全變成一個(gè)關(guān)系業(yè)務(wù)價(jià)值和業(yè)務(wù)流程的詞匯。為了有效應(yīng)對(duì)大型災(zāi)難性事件，企業(yè)必須早做預(yù)防和準(zhǔn)備，而安全系統(tǒng)結(jié)構(gòu)的變化和安全問題的日益重要催生了代CSO。
當(dāng)然，目前在不同的公司中，CSO有著不同的含義：有的負(fù)責(zé)保護(hù)物理安全，如保護(hù)公司數(shù)據(jù)中心各種設(shè)備的安全；有的負(fù)責(zé)數(shù)字信息安全，如防止公司網(wǎng)絡(luò)遭到黑客的攻擊。而隨著企業(yè)日益信息化和數(shù)據(jù)化，人們發(fā)現(xiàn)，影響企業(yè)持續(xù)經(jīng)營的要件并不全是生產(chǎn)設(shè)備、流水線等，還包括基于信息流和數(shù)據(jù)流的運(yùn)轉(zhuǎn)機(jī)制。因此，當(dāng)今的企業(yè)安全不僅是一個(gè)涉及生產(chǎn)安全、人身安全的概念，更是包括信息技術(shù)、人力資源、通信、設(shè)備管理以及其他組織管控在內(nèi)的綜合性系統(tǒng)安全概念，這也是CSO這一職位的核心職責(zé)所在。
自20世紀(jì)60年代以來，中國企業(yè)的業(yè)務(wù)和信息化經(jīng)歷了創(chuàng)生、起步、發(fā)展、壯大等階段，中國建立了全世界齊全的工業(yè)生產(chǎn)門類，而如今依托新基建，更是進(jìn)入了一個(gè)持續(xù)整合和優(yōu)化提升的時(shí)代。
2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立。在這個(gè)小組的名字中， 網(wǎng)絡(luò)安全被放置在信息化的前面，標(biāo)志著中國組織發(fā)展進(jìn)入新時(shí)代，明確了以安全保發(fā)展、以發(fā)展促安全的新理念。
在這一新階段，不同于以往一窮二白的創(chuàng)業(yè)期，中國企業(yè)在業(yè)務(wù)上激進(jìn)開拓，需要通過制度和流程的保證，進(jìn)行安全的驅(qū)動(dòng)，像阿里巴巴的目標(biāo)一樣，要成為經(jīng)營101年的企業(yè)。這不僅表現(xiàn)在經(jīng)營利潤上要能夠支撐發(fā)展，更重要的是在面臨危機(jī)和風(fēng)險(xiǎn)時(shí)不能突然死掉。
因此，未來CSO在公司中扮演的角色不可或缺。本書應(yīng)運(yùn)而生，嘗試解決以下四個(gè)問題：
，未來企業(yè)需要什么樣的首席安全官？
第二，如何認(rèn)識(shí)和處理企業(yè)面臨的危機(jī)？
第三，在安全要求下，如何在組織中構(gòu)建一個(gè)全面的安全體系？
第四，如何面對(duì)未知風(fēng)險(xiǎn)對(duì)企業(yè)經(jīng)營的挑戰(zhàn)？
本書分為四篇，篇開宗明義地介紹了網(wǎng)絡(luò)安全與信息化的內(nèi)涵，讓讀者深刻理解信息技術(shù)對(duì)人們生產(chǎn)生活方式的影響、互聯(lián)網(wǎng)對(duì)世界和社會(huì)基本面的改造，理解在新的格局和環(huán)境下安全與企業(yè)發(fā)展的關(guān)系，以及首席安全官的職業(yè)路徑與技能圖譜。
第二篇主要闡述CSO的一階技能。對(duì)一個(gè)首席安全官新人來說，從組織內(nèi)部安全事件和事故的處置方面入手是比較高效的。本篇介紹了網(wǎng)絡(luò)安全事件處置的標(biāo)準(zhǔn)管理方法、安全事件分類分級(jí)機(jī)制的設(shè)定、安全事件的處理和回顧等內(nèi)容，同時(shí)闡述了企業(yè)危機(jī)應(yīng)對(duì)的機(jī)制設(shè)計(jì)、業(yè)務(wù)連續(xù)性管理和災(zāi)難恢復(fù)計(jì)劃、應(yīng)急與危機(jī)處理的實(shí)踐案例等，從互聯(lián)網(wǎng)企業(yè)到金融業(yè)務(wù)，從拒絕服務(wù)攻擊到隱私泄露，運(yùn)用實(shí)例加深讀者對(duì)危機(jī)應(yīng)對(duì)機(jī)制的理解。
第三篇?jiǎng)t是面向進(jìn)階期的首席安全官來講解的，重點(diǎn)闡述了貫穿企業(yè)業(yè)務(wù)生命周期的安全能力保障圖譜，內(nèi)容涉及風(fēng)險(xiǎn)管理和內(nèi)控機(jī)制的設(shè)計(jì)和實(shí)施，幫助組織發(fā)現(xiàn)潛在的威脅和弱點(diǎn)，首席安全官如何取得企業(yè)經(jīng)營者的支持并合理有效地分配資源，以及以網(wǎng)絡(luò)安全能力體系為核心，構(gòu)建全面的防護(hù)機(jī)制的方法和過程。
第四篇介紹成為首席安全官的高階能力。不同于本書前面章節(jié)，本篇內(nèi)容重點(diǎn)闡述首席安全官如何為處理未知的安全風(fēng)險(xiǎn)做準(zhǔn)備，因?yàn)楦唠A的安全管理者時(shí)時(shí)面臨的是非常規(guī)的網(wǎng)絡(luò)安全問題。本篇內(nèi)容主要涉及對(duì)未知風(fēng)險(xiǎn)的分類和描述，明確風(fēng)險(xiǎn)的來源與目標(biāo)，以及應(yīng)對(duì)未知風(fēng)險(xiǎn)的資源獲取和分配原則；同時(shí)討論了預(yù)警機(jī)制的建立在時(shí)間得到未