文章总结： 文档指出职能型安全负责人因职责过重、资源匮乏及缺乏自主权正大量离职，削弱企业安全韧性。建议CISO将人才留存置于优先，通过优化工作量分配、赋予决策权、设计多元化职业路径及建立基于风险成效的激励机制，缓解职业倦怠并激发团队价值，从而保障业务连续性与安全能力建设。 综合评分： 88 文章分类： 安全建设,安全运营,安全招聘

CISO的最大隐忧：团队骨干正逐渐离去

管窥蠡测

安在

2026年1月12日 18:45 上海

一个老生常谈的问题：对于CISO来说，工作越来越多，但薪酬和认可却远远不足。尽管CISO的职责与重要性持续提升，职能型安全负责人的处境却并非如此——他们被要求承担更多任务，却未能获得相应的回报。

显然，这导致了职业不满情绪逐渐积累，越来越多的人准备离职。对CISO而言，这实际上构成了一项重大风险：如果中层安全管理者感到负担过重且不被重视，其所引发的连锁反应可能削弱企业的安全韧性、业务连续性和创新能力。尤其在网络攻击日趋复杂、补救难度不断加大的今天，CISO绝不能承受其下职能型安全负责人流失的后果。

Pay Near Me的CISO Carol Lee Hobson对此指出：“职能型网络安全负责人正面临越来越高的期望，因为他们不仅需要保护系统，还要助力实现业务成果——同时还需应对新的监管要求、复杂的技术架构以及有限的资源。”

Hobson进一步表示，这其中还包括云、SaaS和人工智能带来的攻击面扩大，使得职能型安全负责人不得不对其无法完全掌控的第三方依赖风险负责。“再加上这项工作具有24小时不间断的特性，以及混合办公模式的普及，如此看来，职业倦怠问题日益突出也就不足为奇了。”

根据ISACA最新发布的《网络安全状况报告》，约66%的网络安全专业人士表示，他们目前的工作压力比五年前更大，其中63%的人将复杂的威胁环境列为主要压力源。调查还显示，超过一半（55%）的网络安全团队存在人员不足的情况，而65%的团队仍有网络安全岗位空缺。

系统性问题持续存在

正如Centric Consulting的虚拟CISO（V-CISO）能力负责人Brandyn Fisher所指出的，才华横溢且尽职尽责的职能型安全负责人正悄然计划离职的趋势并非少数现象——这实际上是该行业多年来累积的系统性问题所导致的一个可预见结果。

Fisher对此表示：“作为CISO，我们看到最关键的管理层级——即部门主管和高级经理们——正普遍遭遇职业倦怠。这并非凭空产生，而是不切实际的期望、资源匮乏以及根本上存在缺陷的职业发展模式等因素交织的后果。”

Fisher进一步指出，安全负责人的工作建立在一个不可持续的前提之上。“我们要求安全负责人必须每次都做出正确判断，而攻击者却只需成功一次即可。这种现实催生了一种高度警惕的文化，而在一年365天、一天24小时不间断的工作节奏下，这种文化根本难以维系。”

Fisher提到，团队成员经常需要在节假日和周末随时待命，却往往得不到相应补偿；并且一次重大安全事件的响应可能持续4到6周，这会导致个人生活被长期搁置。

AT&T的首席数据/人工智能软件工程师Monika Malik则直接点出了职能型安全负责人可能选择离职的另一个原因：他们通常要对项目成果负责，却缺乏制定路线图、决定人员配置和预算的自主权。

Malik对此表示：“当安全负责人承担着风险，却没有清晰的工作路线图时，职业倦怠便随之产生。除此之外，长期的压力，以及‘漏洞恐慌、告警疲劳和事件爆发后的混乱局面’，其消耗安全负责人精力、体力的速度远远超过了薪酬所能弥补的范围。”

Fisher对此表示认同：“缺乏控制权极大地加剧了这种压力。安全负责人常常成为组织其他部门失误的替罪羊——例如用户点击了恶意链接、开发团队引入了漏洞或是高层做出了有问题的决策。”

Fisher强调，职能型安全负责人往往是在可见性有限的环境下抵御威胁，这意味着他们“实际上是在替那些常常未能充分理解风险严重性的利益相关者，打一场看不见的战争”。

Malik还提出了另一个问题：工具冗余——例如超过40种安全工具管理着相同的告警，且集成度极差。“此外，职责过载与场景频繁切换，加上无休止的审计周期、审查和会议，使安全负责人几乎没有时间专注职业发展。许多组织的架构设定为CISO之下仅有一层扁平化的‘各领域负责人’，这些人往往缺乏清晰的路径晋升至更高职位。”

Fisher最后总结说，CISO们还常常被迫要求团队“用更少的资源完成更多任务”。对此，Fisher解释道：“由于网络安全仍普遍被视为成本中心而非业务赋能者，在威胁环境呈指数级复杂化的同时，预算反而最先被削减，这让管理者陷入两难：他们承担着缓解企业级风险的责任，却没有足够的资金来采购工具或招募人才。”

CISO可以且应该采取的行动

尽管形势严峻，但现状并非没有希望；CISO完全可以采取一系列措施来避免职能型安全负责人的流失。关键在于将员工放在首位。Pay Near Me的Hobson指出，CISO需要反思：职能型安全负责人是否身兼多职却晋升困难？自己是否已经采取了足够的措施来培养和留住他们？

Hobson强调：“CISO应当深入思考领导力梯队建设、继任计划以及安全团队内部的文化氛围。如果我们希望建立可持续的安全领导力，就必须理解并解决为何如此多的职能型安全负责人正计划离职。”

Malik则认为，员工留存不应被视为静态事项，而应作为一个需要持续优化运营模式的项目来对待。她建议CISO采用RACI矩阵等项目管理工具，并赋予职能型安全负责人对其所负责系统的管理权。

Malik还表示，应为这些负责人设计清晰的职业发展路径，包括明确的晋升标准，并且提供高管层面的支持，这不仅仅是指导，而是给予他们曝光机会和向董事会展示的平台。

此外，Malik补充道，部分薪酬应当与风险防控的实际成效挂钩，例如与漏洞修复时间等具体数据关联，而不是单纯以审计的通过与否作为考核标准。同时，还需要实现“工具与遥测数据的合理化管控”：“CISO应整合供应商体系，并建立季度淘汰机制：如果某个工具未能在规定日期前实现降低平均修复时间或误报率等既定目标……则应按最坏预期将其淘汰或重新界定适用范围。”

Centric Consulting的Fisher认为，衡量成功的标准应侧重于避免系统停机和保障安全，而不仅仅是事后应对事件。他分享道，在他曾任职的一家公司里，当安全团队开始在仪表盘上展示风险降低的相关数据后，团队参与度会显著提升，人员流动率也会随之下降。

Fisher对此表示：“这大大提升了工作的可见性，重新激发了团队的积极性。网络安全人员通常不会因压力本身而离职，他们之所以会离开是因为在无事发生时，他们的贡献往往被忽视了。如果能将风险预防作为核心考核指标，他们会更有归属感。因此企业要让安全工作成为可量化的增长要素，而不是默默无闻的后台角色。”

CISO职位值得追求吗？

Fisher指出，要求职能型安全负责人承担更多工作，这也直接反映了CISO自身在争取影响力时所面临的困境。他进一步表示，当CISO隶属于一位态度冷淡的CIO或COO，且无法进入高层决策圈时，他们自然也就无法为团队争取到必要的资源。

“这种无力感会自上而下地传导。最终，管理人员会被迫执行那些自己并未参与制定的政策与战略，而他们领导的团队却面临人手不足、工具短缺的窘境。他们需要为失败承担责任，却被剥夺了确保成功所必需的权限和资源。”

Fisher补充道，或许最关键的问题在于，当有抱负的安全管理人员抬头仰望职业阶梯的顶端时，他们看到的却是一个自己并不向往的职位。“这些安全管理人员看到自己的CISO正深陷于一个全天候的高压循环中，需要承担个人责任，却缺乏其他高管所享有的制度性保障，甚至难以抽出时间去履行这一职位本应具备的战略思想领导力职责。”

Fisher认为，更糟糕的是，许多人看到了明显的领导力瓶颈：企业往往倾向于将最优秀的技术专家提拔到CISO的职位上，而不是具备管理经验的安全人员。

“尽管他们的实操经验非常宝贵，但其中许多人确实缺乏战略视野、商业洞察力以及领导能力，因而难以打造成熟的安全项目，也无法有效地培养下一代领导者。这对于那些渴望成长为与业务深度融合的有志之士而言，就形成了一道职业障碍。既然如此，这些安全管理人员为何还要留下来？为何还要拿着与所需经验不匹配的中层薪资苦苦挣扎，并且向一个无法为自己铺就职业发展道路的领导者汇报呢？”

Hobson对此表示赞同，并认为网络安全领域的职业发展路径可能需要被重新定义。“这不仅仅是沿着一条狭窄的阶梯向上攀登，直至达到CISO职位——毕竟这个层级的职位数量有限，而且行业变化如此之快，这也不应该是唯一的发展路径。”

Hobson说，除了传统的CISO发展路径，其实还存在多条有价值的专业道路，例如人工智能治理、安全架构和风险管控等领域。“通过向隐私保护、威胁建模或人工智能治理等专业领域进行深度拓展，实现横向的专业化发展，这同样极具价值并能带来深厚的职业满足感。”

帮助职能型安全负责人看到工作的意义

为此，CISO必须从根本上转变其关注重点，以防止人才流失。

正如Hobson所指出的，仅仅意识到职能型安全负责人负担过重是远远不够的。“CISO需要着手调整工作量的分配，将职业发展置于优先地位，并赋予团队从战略层面影响组织的能力，这份高压职位必须与深度的专业参与感实现平衡。”

在这方面，Hobson与Malik持相同观点，认为CISO还应进行“有意义的授权”，这既是防止职业倦怠的关键，也是给予职能型安全负责人真正自主权的体现。“对于一个优秀的负责人而言，没有什么比被降级为单纯的‘传声筒’更能迅速消磨其工作热情的了。”

Hobson进一步阐述，CISO的职责在于通过多种途径，持续培养团队的韧性、归属感与专业知识，从而让职能型安全负责人清晰地看到自己工作的深层意义，并始终保持参与感。

“这一切始于清晰的沟通——首先要帮助职能型安全负责人理解他们的职责如何直接支撑业务战略，并不断强化‘安全应成为每家公司战略优势’这一核心理念。”

Fisher则从更宏观的角度强调：“我们的核心职责远不止于管理风险，更在于构建具有韧性、可持续发展的组织。而实现这一目标的第一步，是保护团队成员免受职业倦怠的侵蚀，是在董事会层面积极倡导安全工作的商业价值以争取关键资源，并致力于指导管理人员成长为行业未来所需的战略型领导者。”

结语

在网络威胁持续升级、安全职责不断扩容的当下，职能型安全负责人的流失风险已成为CISO面临的关键挑战。他们肩负系统防护、业务赋能与合规应对的多重压力，却常陷入资源短缺、认可不足、职业路径模糊的困境，甚至沦为组织失误的“替罪羊”。这些问题叠加催生普遍职业倦怠，更悄然动摇着企业安全体系的中层根基。

化解危机需打破“重任务、轻保障”的惯性：CISO需将团队留存与成长纳入战略优先，通过优化工作量分配、赋予决策自主权、建立风险防控成效导向的激励机制，让职能型安全负责人从“传声筒”变为“战略参与者”；同时重构职业路径，跳出“唯CISO论”的狭窄框架，让AI治理、隐私保护等横向专业化发展与纵向晋升具备同等价值。毕竟，企业网络安全韧性依赖中层骨干的坚守，唯有让他们感知工作意义、获得成长空间，才能筑牢可持续的安全防线。

原文地址：https://www.csoonline.com/article/4094734/the-cisos-greatest-risk-department-leaders-quitting.html

作者：

Esther Shein  网络安全领域记者

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测《CISO的最大隐忧：团队骨干正逐渐离去》