CISO 在董事會中的參與度兩年內提升77%

根據 Splunk 和牛津經濟諮詢公司對首席信息安全官 (CISO) 的目標、優先事項和戰略進行的全球研究顯示，目前 82% 的 CISO 直接向 CEO 彙報，相比 2023 年的 47% 有顯著增長。

《2025年CISO報告》還揭示，83% 的 CISO 經常或大部分時間參與董事會會議。但是，僅有 29% 的 CISO 表示其董事會中至少有一名具備網絡安全專業知識的成員。

這項全球研究於 2024 年 6 月和 7 月與牛津經濟研究院合作開展，調查了 600 名受訪者，其中包括 500 名 CISO、CSO 或同等級別的安全領導者，以及 100 名董事會成員。

受訪者來自 10 個國家：澳大利亞、法國、德國、意大利、印度、日本、新西蘭、新加坡、英國和美國。他們代表了 16 個行業，包括農業、金融服務、政府、醫療保健、製造業和零售業。

牛津經濟研究院還採訪了 8 名 CISO 和董事會成員。

分歧依然存在

儘管研究發現 CISO 在組織最高領導層的參與度有所提升，但研究也發現 CISO 與董事會之間仍存在差距。

最大的差距包括新興技術創新 (52% 的 CISO 將其列爲優先事項，而董事會成員僅爲 33%)、安全人員技能提升或再培訓 (CISO 爲 51%，董事會爲 27%)，以及對收入增長計劃的貢獻 (CISO 爲 36%，董事會爲 24%)。

僅 15% 的 CISO 將合規狀態列爲首要績效指標，這與董事會的 45% 存在顯著差異。21% 的 CISO 表示曾受到壓力不報告合規問題，59% 表示如果其組織違反合規要求，他們會成爲舉報人。

只有 29% 的 CISO 表示他們獲得了適當的網絡安全預算來實現其安全目標，相比之下，41% 的董事會成員認爲網絡安全預算完全足夠。

64% 的 CISO 表示當前的威脅和監管環境使他們擔心安全工作不足，18% 表示在過去 12 個月由於預算削減而無法支持業務計劃，64% 表示缺乏支持導致了網絡攻擊。半數 CISO 還表示成本節約計劃減少了他們可用的安全工具，導致招聘凍結 (40%)，以及減少或取消安全培訓 (36%)。

幾乎所有 (94%) CISO 報告稱遭受過破壞性網絡攻擊，其中 55% 至少經歷過幾次，另有 27% 經歷過多次。

網絡安全專業人員的現狀

這幅描繪網絡安全專業人員與董事會之間持續存在分歧的細緻畫面，儘管有所進展，但仍在 Informa TechTarget 的企業戰略集團與信息系統安全協會 (ISSA) 合作發佈的持續研究中得到印證。

"隨着 CISO 角色變得越來越複雜且對組織至關重要，CISO 必須能夠平衡安全需求與業務目標和文化，並清楚表達安全投資的價值。" - Shefali Mookencherry，伊利諾伊大學芝加哥分校

在該研究的第七次迭代中，分析師榮譽退休人員 Jon Oltsik 和綜合研究高級總監 Bill Lundell 表示："網絡安全專業人員希望他們的 CISO 能在高管和董事會中爲他們發聲。雖然這種情況正在發生，但 24% 的受訪者認爲 CISO 與企業領導層的互動不夠。危險的威脅環境和新的法規可能會在不久的將來放大 CISO 的聲音。與此同時，網絡安全專業人員強調 CISO 最需要強大的溝通和領導技能，這反映了該職位的商業性質。"

該報告發現，近三分之二的受訪者表示他們的 CISO 定期與董事會互動，但只有略超過一半的人認爲這種互動程度足夠。

在 Splunk 的報告中，53% 的 CISO 表示自從上任以來，他們的職責和工作期望變得更具挑戰性。

在被問及 CISO 應該發展哪些技能時，最大的差距是：

商業敏銳度 (董事會 55%，CISO 40%) 情商 (董事會 45%，CISO 35%) 溝通能力 (董事會 52%，CISO 47%) 法規和合規知識 (董事會 44%，CISO 57%)

Splunk 的 CISO Michael Fanning 在談到這份報告時說："隨着網絡安全日益成爲推動業務成功的核心，CISO 和他們的董事會有更多機會縮小差距，獲得更好的協調一致，並更好地相互理解以推動數字韌性。"

"對 CISO 來說，這意味着要了解 IT 環境之外的業務，並找到新的方式向董事會傳達安全計劃的投資回報率。對董事會成員來說，這意味着要致力於建立安全第一的文化，並在影響企業風險和治理的決策中將 CISO 作爲主要利益相關者諮詢。將這些羣體聚集在一起需要教育董事會了解網絡安全的細節，同時 CISO 也要理解業務語言和需求，同時使安全成爲業務推動力。"

伊利諾伊大學芝加哥分校的首席信息安全和隱私官 Shefali Mookencherry 補充道："在高等教育機構領導和管理網絡安全和隱私計劃需要與董事會成員、隱私領導者、員工、教職員工和學生進行密切合作和溝通，以確保安全融入組織的各個方面。隨着 CISO 的角色變得越來越複雜且對組織至關重要，CISO 必須能夠平衡安全需求與業務目標和文化，並清楚表達安全投資的價值。通過與各個部門和利益相關者建立牢固的關係，CISO 可以爲推動網絡安全和隱私計劃提供指導和領導。"

研究發現，具有 CISO 背景的董事會成員報告說他們與安全團隊的關係更強，對組織的安全態勢更有信心。

董事會成員自己報告了 CISO 與董事會在制定和調整戰略性網絡安全目標方面的優秀或很好的工作關係——有 CISO 成員的董事會爲 80%，而沒有 CISO 成員的董事會爲 27%。有 CISO 的董事會在項目進展溝通和目標實現方面表現更好——有 CISO 成員的董事會爲 60%，而沒有 CISO 成員的董事會爲 16%。

與董事會關係良好的 CISO 也更有可能獲得生成式 AI 用例的批准，如創建威脅檢測規則 (43% 對比其他 CISO 的 31%)、分析數據源 (45% 對比 28%)、事件響應和取證調查 (42% 對比 29%)，以及主動威脅捕獲 (46% 對比 28%)。