Lightico的CIO Omri Braun总结了大多数IT负责人和CSO之间关于网络安全职责上的区别，他表示：“IT负责人更专注于确保使用正确的工具来最大限度地提高效率，以及选择可能会影响公司发展的各种技术，或不断寻找对公司运作来说更有利的机遇等。而CSO则负责保护数据的安全性和完整性。”

Orange Cyber defense 的全球首席信息安全官Richard Jones对此表示赞同：“通常来说，CSO会从运营的角度来看待安全。而IT负责人则更侧重于将安全性建设到企业的技术堆栈或正在进行的数字化转型项目中，以此来最大限度地提高效率、提高弹性、提升用户体验。”

而网络安全架构师Tee Patel甚至觉得IT负责人经常会被迫在安全投资回报率（ROI）方面走“党派路线”，而CSO则需要更加独立去思考安全并专注于保护企业本身。他说：“让企业赚钱并达到营销目标和保持运营安全是现代IT负责人 与CSO职位之间最显著的差别。”

英国特许信息安全协会首席执行官Amanda Finch表示，责任上的差异最好通过每个角色对数据的态度来概括。认证机构CREST的总裁Ian Glover认为，要从安全角度完全分离CSO和IT负责人的角色是非常困难的，在大多数企业里，他们是在职能上互相对齐并紧密关联的。

Zoom CSO Jason Lee表示，他的主要关注点在于保护关键信息，包括客户数据、员工数据和源代码。“在安全方面，考虑大局很重要，这包括查看与业务相关的第三方事项，另外还要思考如何更好地管理各种风险。我会想办法尽可能地武装员工，以确保他们能为安全威胁做好十足的准备。”

对于HP Inc的CSO Joanna Burkey 来说，怎么在混合办公时代保护企业的运营安全是工作中不可或缺的一部分。“在过去 18 个月左右的远程办公模式中，网络安全对员工增加了更多的限制，因为工作内容会在没有本地基础设施保护的情况下进行。” 然而，这些安全政策和限制是为远程办公所设置的，正常办公状态并未被淘汰，所以需要用各种视角去看待，她说：“CSO需要考虑其他降低风险的方法，不单单只是针对突发事件，比如疫情，现实生活很可能会这么转变或那么进行，所以得让安全可以适应更多的场景和变化，而变化之下，企业往往不能很好地遵守各种政策和规则，因此才需要CSO从中彰显自己的职能。”

Jones补充说，由动态网络威胁环境和数字化转型浪潮共同造成的趋势是现代CSO需要管理的另一个重要部分。“网络安全现在需要融入企业运营的各个方面，不管是CEO还是实习生，每个岗位上的每个人都需要对网络安全有所认知。” 因此，CSO必须从头到尾为公司的数字环境从各个方面去注入安全性，确保任何安全有关的内容都是从数字项目开始注入的，这样最终才会减少安全团队面临的警报量，才能让他们更好地使用他们的技能和资源。

就像钟振山说的那样，CSO并不是一个技术岗位，这个岗位需要建立全局的认知，具备对外沟通能力，最重要的是要深入业务，将业务能力和安全能力融合，并在不影响业务的前提下，成功将安全融入、落地，这才是CSO的价值所在。

他认为企业招一个CSO不是让他去搭防火墙的。真正CSO要做的事情，第一点是拥有整体的、体系化的规划，知道企业内部需要具备什么样的安全能力，而这个能力必须要和企业的业务挂钩，因为各个企业自身的业务特点不同，因此需要的安全能力就不一样，所以才说CSO包括其实对于IT负责人也一样，最大的挑战是必须要懂业务，他必须是面对业务的，而不是把自己关在一个小黑屋里做自己的事情。

Finch说，虽然CSO负责日常网络安全的各种要素，并且这些要素包含着许多前瞻性的规划，但在大多数企业里，安全责任往往会由IT负责人承担，因为后者才是那个常常会向 CEO和董事会报告的角色。“因此，IT负责人不能将权责完全交给CSO。相反，IT负责人需要保持对安全策略的认识，并确保这些策略不会将组织的整体战略置于危险之中。”

Tenable的IT负责人Brad Pollard 表示，当下的IT负责人会为一系列基于可用性、性能、预算和及时交付项目的安全负责。“IT负责人需要支持组织内的每个业务部门，可以说他们负担了每个业务部门的信息安全要求。”

例如CSO很可能负责定义安全参数，像漏洞修复或访问控制的服务级别协议等，但IT负责人会为所有业务部门提供这些方面的要求，它涵盖了公司的所有技术。Pollard 说：“IT负责人所要的安全结果是为了满足业务需求，特别是维护预算和按时交付。”

埃塞克斯大学的CIO Jots Sehmbi认为，IT负责人的角色不仅仅是运行传统业务，它越来越多地在包含新技术的实施，并为企业提供数字能力。“其中一些技术对企业来说可能是新颖的，比如RPA、人工智能、物联网等，这些会存在潜在的风险，像数据的架构方式之类，因此IT负责人有责任深入了解这些新技术的网络安全趋势。”

Burkey说，CSO和IT负责人会因为不同的安全责任、安全目标而引发冲突。为此他强调了企业需要基本的凝聚力，以确保这些冲突背后，所牵扯到的新技术不会为公司、数据或客户数据带来安全上的影响。

而Jones则认为，CSO和IT负责人不能只站在自己的立场，他们需要互帮互相，虽然他们之间可能有不同的目标，但他们走的道路却是同一条。“此二者之间协作和沟通是企业能够顺利运营的关键。CSO和IT负责人必须相互合作，这样在运用SD-WAN、SASE和零信任等技术和方法时，才能使这些新的技术成功地落地，并且高效的运行。” 

另一方面，Glover从监管的角度分析了此事态，他强调了国际受监管社区中的一个新问题，监管机构现在会更多地去了解其受监管实体所提供的网络安全水平。“同一受监管企业的CSO和IT负责人之间需要加强合作，监管者一定只会做他们认为正确的决定，但通常会从当地的政策来看待问题。这种情况的发生与过去很不一样，而若CSO和IT负责人能相得益彰，站在彼此的立场上共同思考如何满足监管要求，则会为企业带来降本增效的结果，就像说的那样，得让更多的资源集中在双方的控制下而不是集中在报告上。”

Lee补充道：“网络安全在业务运营中的作用正提高着IT负责人和CSO之间的凝聚力，在面对企业的运营时，双方都必须先考虑网络上的安全问题并应对日益增加的威胁，因此在做出任何决定前，安全一定是双方的首要考虑内容。同时，参与彼此的战略和关键实施至关重要，即使双方从意识中都明白该更多的合作，作为其中的一员，还是该尽可能提高这种参与度。这意味着两者的角色比以往更加的紧密了，也意味着使协作变得更加重要。”

而单从权责来看，CSO和IT其实是独立的两条线。就比如CSO或者是安全部门总监在遇到安全事件时，他的话语权不低于IT负责人，那么他们可能会有更独立的网络安全方面的思考，也因此能在这个方向为公司带来更多价值。

但如果反过来，CSO的话语权或说在面对安全事件时的汇报权限比IT负责人低，那么他的中立性会相对弱一点。因为IT负责人最终关心的是项目可不可以落地，可不可以在预期的项目周期内完成等，IT负责人势必会将补齐安全漏洞的行为滞后。

作为安全人员，和IT负责人之间的相处情况具体怎么样、面对矛盾时彼此又会用怎样的手段解决、另外对于CSO在企业安全方面的所有权有着怎样的推测，国内安全专家如此建议。

公安部网络安全等级保护专家毕马宁认为，CIO、CTO和CSO是企业信息化发展和数字化转型的三驾马车，彼此应该各司其责。CIO作为首席信息官，关注的视角是数据（信息）资产，CTO则关注技术架构，CSO肯定是关心安全。而由于视角不同，工作中沟通不及时，难免也会不协调，甚至有时会唯我独尊，使三足鼎立的格局中出现长短腿，产生内耗，桎梏发展。

“面对矛盾和不协调，他们其实应该看到各司其职是为了协同发展，因为有一点是一致的，即都是为了追求数据资产价值的提升并赋能绩效，说到底大家是相互依存的关系，都应该遵循、服从于发展，这才是硬道理。因此得为了发展求同存异，相互配合，相互支撑。另一方面，CSO是来护航的，护航者的工作重点不是解决能不能去（能不能为），而是解决如何安全的去（安全为之），所以CSO 要首先对业务应用、场景模式有较深入的了解，这样才能把安全落到实处。”

而某科技公司安全专家朱士贺认为，协同合作，明确的权责划分，多沟通，相互理解是CSO和IT负责人之间最重要的配合元素。所以说安全与IT这条线密不可分，安全也涉及非IT领域，但是制度和技术的落地，执行层面也需要运维、架构、研发等团队人员。

“若是碰到矛盾了，最好先冷静下来，避免进一步加剧矛盾，以后再找机会好好详谈。而在权责方面，我认为CSO们需要需要进一步提升授权。”

另一方面，某大型IT服务外包集团安全负责人朱诚表示，安全人员（ciso、cso等）和cio、cto之间的关系是相互配合但又不直接关联（没有汇报关系）的。对于IT服务外包来说，安全人员更偏重于“管理”非IT及网络技术应用，这时IT服务外包公司中的CIO、CTO恰好补充了这个不足。因此在日常工作中，这两类人员相互配合，知识共享，当因为网络漏洞造成的信息安全事故时，会相互合作，但日常工作中，并不会相互汇报。

而对于可能会发生矛盾的情况，朱诚给出了三点建议：

①以终为始：找到这两类人员引起矛盾的事件是什么，找到这件事情最终的目的是什么，以这个目标为讨论的基础，旁枝末节不再延伸，从源头减少矛盾的可能性。

②求同存异：提前设置达标标准，只要在达标标准范围类，可以允许有不同的声音，允许有不同的办法，从执行层面分开执行，化解矛盾。

③殊途同归：针对引起矛盾的事件，在快结束之前，整合这两类人员所完成的目标情况，此时这两类人员在执行过程中分别遇到的问题、总结的经验可以有一个碰撞，此时面临需要解决的事件，再来整合这两类人员工作过程中的输出，因为此时大家想到的是如何解决自己的问题，都是抱着学习的心态，会极大减少矛盾。

“至于CSO们在企业安全方面的话语权嘛，应该是‘有限范围的最终解释权’。什么叫有限范围？安全是为企业发展服务的吧，或者说所有企业内部的职能管理部门都是为企业发展服务的吧，那当安全管理阻碍了企业的发展，甚至是到了‘企业能不能活下去’的时候，再谈安全管理无异于削足适履。所以安全管理的话语权在于‘企业能否健康运营’，并且在发展过程中，是为公司在信息安全及时辅助纠偏的一个权力。”

什么叫“最终解释权”？朱诚解释说，在满足不影响企业发展、业务拓展的情况下，信息安全可以说是企业安全的一条生命线，任何人不可逾越，因此在这个层面上来说，安全管理的话语权必须具有最终解释权，否则就会出现管理断层，大老板很重视，越到基层越难管理。

展望未来，专家预测CSO和IT负责人之间关于网络安全上权责将发生变化。

Finch说：“我们会看到CSO和IT负责人正努力使安全成为一个值得信赖的来源，并具有一致的标准、行为和定义，就像法律、医学和会计等职业那样，将肩负起更大更重要的责任。”

Zscaler的IT负责人Marc Lueck认为，IT负责人在未来几年里将有不一样的信息安全体验。“要么IT负责人会兼顾安全和IT技术的发展，要么IT负责人将会把安全部分的职责完全交付，由不再向他们报告的CSO全权管理。 而这两种模式都将存在于各行各业，同时只要找到合适的人员，那无论哪一种模式都会为企业带来收益。” 他指出，对于IT负责人来说，网络安全将变得与效率、削减成本技能等一样重要。

Pollard补充道：“就像现代业务部门通过SaaS平台承担一些传统的 IT 职责那样，IT负责人将更多地会在业务部门内寻找安全专家，这些专家不仅需要知道如何保护所使用的技术，还需要去了解对特定业务部门来说，什么风险趋势比较重要。”

Glover 预测，IT负责人和CSO的共同权责还将在企业并购、第三方合作方面等领域发生变化，双方都需要在这些领域里共同建立起有意义的流程，以增加安全性。“他们的合作将成为企业里举足轻重的一部分，他们会在企业与第三方合作、收购或合并时提出共同确认的建议。”