什么是CISO即服务？

CISO即服务是将首席信息安全官和信息安全领导职责外包给第三方提供商的服务模式。通过雇佣第三方提供商远程管理其安全计划，组织可以获得内部不具备的员工和资源，从而更好地满足信息安全和合规需求。

CISO即服务通常按订阅或按使用量付费，类似于许多XaaS模式。与许多XaaS模式一样，CISO即服务产品可以完全远程提供，也可以是混合模式，即提供商的专家远程和现场与组织现有的安全团队合作。

为什么需要CISO即服务？

强大的安全领导力在现代组织中非常重要，因为数字化转型增加了组织整体的漏洞广度。全行业的网络安全技能短缺意味着负担得起的、熟练的安全领导者很难找到且容易流失。高压力水平也加剧了CISO的流动率，导致许多人在组织之间跳槽。CISO即服务可以通过按需为组织提供经济高效的安全领导力，帮助缓解潜在的人员配置问题。

CISO即服务也被称为虚拟CISO。

使用CISO即服务的好处

使用虚拟CISO既有优点也有缺点。使用CISO即服务的潜在好处包括：

• 灵活性：CISO即服务平台通常很灵活，使组织能够根据其特定需求定制和扩展服务
• 无偏见分析：作为外部第三方，CISO即服务平台使vCISO能够比内部员工更客观地评估组织现有的安全计划
• 成本效益：按使用付费定价让组织只需支付他们使用的时间和服务
• 按需服务：使用服务提供商确保持续可用的安全资源
• 长期和短期收益：短期内可识别即时风险并加强控制；长期可通过培训和改进核心流程及基础设施为未来内部安全计划奠定基础

CISO即服务模型为无法承担传统内部角色或有人员配置问题的组织提供了灵活性和专业知识。

经验：CISO即服务为组织提供了一组经验丰富的网络安全专业人员，他们拥有与各种不同组织合作的广泛经验。

雇佣vCISO的一个缺点是，他们可能同时为其他组织服务。如果发生违规，这可能会导致忠诚度、及时响应和风险承担方面的问题。

何时需要CISO即服务？

任何没有内部CISO的组织都可以考虑将CISO即服务作为可行选择。以下是可以使用CISO即服务的几种情况：

• 预算有限：没有资源雇佣全职CISO的初创公司
• 临时职位空缺：寻找新永久CISO的组织
• 合规期限：面临安全或合规目标压力的公司
• 安全计划升级：希望升级网络安全计划的组织
• 精简IT环境：使用精益IT原则的企业
• 长期安全实践：希望为新长期计划奠定基础但缺乏永久安全团队的组织

CISO即服务的职责范围

CISO即服务提供商承担与内部CISO大部分相同的职责，包括：

• 数据保护：保护数据的机密性、完整性和可用性
• 网络安全：制定与组织目标一致的长期网络安全战略
• 治理、风险和合规：制定GRC计划并确保持续合规
• 风险评估和管理：进行持续风险评估以发现潜在威胁和漏洞
• 安全监督：开发、监控和报告安全、业务和通信运营及实践
• 人员管理和供应商关系：跟踪供应商集成并管理其他第三方安全服务
• 指标和报告：定义关键绩效指标以衡量安全计划有效性

CISO即服务与全职CISO对比

传统CISO是负责制定和实施信息安全计划的高级管理人员。他们在公司内部全职工作，帮助指导组织的安全工作。该角色旨在为内部网络安全提供持续领导力。

而通过CISO即服务提供的vCISO是一个外部实体。CISO即服务的理念是将该角色外包给合格的第三方。CISO即服务提供商通常以更灵活的方式工作，可能兼职工作、担任顾问或以混合在线或面对面方式工作。

5家CISO即服务提供商示例

尽管有许多CISO即服务产品，以下仅是一些示例：

• Bulletproof：英国基于的vCISO服务，提供模块化订阅包选项
• FRSecure：网络安全咨询公司，为受严格监管的行业提供vCISO服务
• Kroll：以其事件响应和数字取证能力而闻名的网络安全和风险管理公司
• Integris：IT公司，提供拥有CISSP认证的vCISO服务
• TechMagic：提供ISO 27001认证顾问的CISOaaS提供商

CISO即服务产品通常是按使用付费和按需模式，通常作为年度订阅使用保留金支付。vCISO在现场花费的时间量是可协商的，保留金基于每年设定的天数或小时数。