文章总结： 随着AI时代及合规要求的提升，CISO角色正从业务附属向企业战略核心转变。三法一条例促使大型企业将安全视为风险治理职能，CISO进入高管层承担首要责任。然而国内二元格局依旧，中小企业仍视安全为IT细分。CISO应确立与CTO同等的战略地位，实现安全与业务相互成就，推动安全职能走向董事会决策核心。 综合评分： 75 文章分类： 安全建设,政策法规,安全运营

安全锐见：AI数智化时代，首席信息安全官（CISO）角色定位的应当被改变

原创

JUN哥 JUN哥

君说安全

2026年1月19日 16:16 贵州

前言

长期以来国内CISO的境地比较窘迫，或许AI时代的到来能改边这一现状，让CISO更加的责权对等并进入企业的战略指挥层，而不是传统的业务附属

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“首席信息安全管（CISO）角色定位的应当被突破”****

大家好，我是Jun哥。

一个主流的观点认为，网络与信息安全其实作为IT信息技术的附加属性，长期依赖一直都是业务的附属。

目前，依旧很多企业在部署网络安全相关产品或者引入安全服务时，首要考虑的是这些变动和操作对业务的影响，并如何如何消除这些影响。

安全是为业务服务的，但随着国家越来越重视网络安全，其实安全对业务越来越重要，甚至一些企业，安全的重要性远大于业务的流畅性，因此，首席信息安全官（CISO）的岗位职责越来越重要。

国外的一项调查数据显示，CISO职位正从传统的副总裁、董事级别向核心高管层跃升，46%的受访者已拥有执行副总裁、高级副总裁等高管职务。这种”结构性转变”不仅意味着CISO的影响力升级，更标志着安全职能从技术支撑走向企业战略核心。

目前本土的绝大部分企业，尤其是中小企业，CISO还是需要向业务部门汇报工作的，只要业务主管不松口，CISO想要执行的安全措施或者策略都难以实施，但这种情况有望在未来得到改变。

这其实是关于安全价值认知的升级的结果。到底是安全重要还是业务重要，这一论断其实国内早有定论：安全是发展的前提，发展是安全的保障，习总书记的这句话放在网络安全行业，也是万般皆准的。

安全和业务并不矛盾，他们是相互成就的关系，因此CISO应当跟CTO、CTO拥有一样的地位，都应当成为组织或者企业的战略层，而非业务的附属。

  01 CISO角色转变的驱动内因

这种角色转变的内因在国内也是非常明显的。随着三法一条例（《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》）的落地实施，国内网络安全等级保护制度2.0的全面推进，安全合规已从”可选项”变为企业经营的”必答题”。

传统模式下，企业的法人承担了网络与信息安全第一责任人，而现在越来越多的企业开始选择选择CISO这个岗位作为网络安全责任的第一承担者，其职位权重自然水涨船高。

国内大型企业，尤其是国有企业、关键信息基础设施运营者，正率先践行CISO高管化转型。这类企业不仅需满足等保三级的强制性要求，还要应对信创替代、数据分类分级等复杂任务，亟需高管级别的安全负责人统筹协调跨部门资源。

与北美等国际大型企业将安全视为核心风险职能的定位一致，国内头部企业也逐渐让CISO脱离单纯的技术管理范畴，参与董事会层面的风险决策，部分企业的CISO已跻身高级管理团队。

  02 国内二元格局模式依旧持续

一项网络安全的调查数据指出，CISO的重要性其实分成了两种格局：

（1）大型企业，尤其是上市公司，越来越将安全视为企业风险的核心职能，由一位高管级CISO领导（为副总裁级别），通常向董事会或者总裁直接汇报工作

（2）中小型组织更常将安全作为IT细分，由向CIO或CTO汇报的主管级CISO监督，或者只是名义上的高级主管职位的CISO。

这种分化其实在国内过去的几十年是非常的明显的，国内大型企业与中小企业的CISO角色定位、资源配置、汇报路径，已形成两条几乎平行的发展轨迹，构成了这个行业的独特生态。

在大型企业端，安全职能正加速向企业级风险治理升级，而中小企业的情况则和大型企业的状况截然不同。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君说安全 JUN哥 JUN哥《安全锐见：AI数智化时代，首席信息安全官（CISO）角色定位的应当被改变》