安全和風險管理領導者經常尋求一種通用的模型來組織其職能，這可能導致效率低下和需求得不到滿足。然而，目前并沒有一個標準的組織模型。這項研究可以幫助他們根據企業實際情況，設計出最合適的網絡安全組織。

?主要發現

• 許多安全和風險管理 (SRM) 領導者仍在尋找完美的網絡安全組織，但動態的商業環境卻需要企業特定的最佳擬合模型。

• 企業風險偏好、企業文化和成熟度水平等許多因素都會影響安全團隊的設計，使安全組織規劃變得復雜。

• 企業開始意識到現實，重組并不能提高它們的效率或安全性，因為它無法解決更深層次的治理或文化問題。

建議

• 通過確定所需的安全功能來設計網絡安全組織，旨在實現監督和執行分離，避免試圖“做所有事情”，承認完美不是一種選擇，并避免基于行業建議或同行比較進行構建。

• 評估影響網絡安全組織設計的相關因素，包括商業模式、規模、流程成熟度、治理原則、風險偏好和文化。

• 調整當前的網絡安全組織實踐以反映企業的文化、政治和治理現實。

概述

網絡安全沒有單一的、普遍接受的組織模式；有幾個企業特定的因素會影響最佳團隊的設計。

企業數字化轉型的程度、速度和復雜性，對網絡安全組織的設計和管理方式有著重大影響。隨著業務流程日益數字化，數字化應用日益普及，安全流程和能力也需要隨之發展。

此外，持續存在的安全技能短缺加劇了網絡安全組織設計的復雜性。根據Gartner《2025年首席信息官人才規劃調查》，74%的受訪者表示，網絡安全技能缺口將對其實現2025年目標的能力產生中度至嚴重的影響。

托管安全服務和外包一直是標準的人員擴充解決方案。然而，這些方案使企業更加依賴外部資源（例如顧問、承包商和托管服務提供商），并增加了新的管理要求。

相反，我們需要更具創新性的方法，包括采用正式的精益安全組織，并在企業內任命安全負責人、業務信息安全官 (BISO) 和本地信息安全官 (LISO)。在選擇自身方法時，SRM 領導者必須致力于構建最合適的團隊結構，以反映企業實際情況并滿足業務需求，而非追求完美。

SRM領導者必須了解安全組織結構演變的宏觀趨勢。這些趨勢的核心是安全管理能力集群的出現，這些能力集群應為任何安全組織設計奠定基礎（見圖1）。這不僅有助于他們設計最終以最有效的方式促進業務成果的結構，還能使他們能夠持續評估團隊的效率。

圖 1：安全能力集群的通用視圖

SRM領導者面臨的挑戰是如何將這些能力納入其安全組織最合適的架構中。本研究概述了指導此類設計工作的因素、成熟實踐和趨勢。

分析

使用五項原則設計網絡安全組織

避免為了解決需要更具體干預的治理或文化問題而改變網絡安全組織結構。在設計網絡安全組織時，請遵循以下五項原則：

• 評估所需的安全功能（例如應用安全），并大致定義這些功能所基于的流程（例如應用安全測試），包括定義高級流程和負責、可問責、咨詢和知情 (RACI) 圖表。使用流程和 RACI 圖表來確定相應功能的最佳位置。

• 安全組織設計的一個關鍵目標是實現監督（例如策略管理和保障）與運營（例如安全工具管理）之間充分的分離。這種分離是將首席信息安全官 (?CISO?) 的匯報線從 IT 組織中移除的主要驅動力之一。然而，它也可以在更具體的戰術層面發揮作用。例如網絡安全團隊負責申請并批準防火墻規則的變更，而安全管理團隊則負責實施這些變更。可擴展性（即團隊中可用的人數）是實現有效分離的主要障礙。

• 很少有企業能夠承擔所有內部安全功能。考慮選擇性地外包某些功能，尤其是那些運營性或臨時性的功能。

• 鑒于影響安全團隊設計的因素眾多，首次構建團隊的嘗試幾乎不可能完美無缺。最好的方法是實施新的設計，然后通過實踐經驗進行完善。力求實現可衡量的持續改進。

• 這些做法不可避免地會導致安全與業務之間的利益沖突和文化脫節。這些做法通常不適合您組織的獨特需求，也不符合您的風險偏好。

評估影響網絡安全組織設計的相關因素

除了上述原則之外，網絡安全領導者還應評估表 1 中列出的因素，以確定它們對網絡安全組織設計的影響。

表 1：?影響網絡安全組織設計的因素

因素	描述	說明性影響
企業結構	企業中各種業務任務和活動的執行系統。這通常取決于： 聯邦化和權力下放的程度。 地方自治程度。 聯合會是按地區還是按功能劃分的。 職責分離的實施級別或期望級別。	這些因素經過定性評估，決定了安全功能的集中化或分散化程度。
企業文化	需要考慮的文化因素包括： 企業的創業精神如何。 需要推動信息安全活動和行為更貼近業務、更貼近其他企業風險管理功能。 企業的成長歷史——有機增長與并購（M&A）。 CIO ??的權力和影響力。 董事會成員對安全的關注程度。 需要強調的是，安全功能涵蓋的范圍遠不止 IT；這包括 IT 和運營技術 ? (OT) 安全需要集成的程度。	這些因素經過定性評估，決定了企業的報告結構和聯合程度。
企業風險偏好	企業主動投資安全和風險緩解策略的程度。	較低的風險偏好可能導致具有各種專門功能的更詳盡的設計，而較高的風險偏好可能導致由于投資較少而導致的安全組織更精簡。
安全實踐的成熟度	企業的安全實踐足以保護其信息和資產并及時應對潛在的安全威脅的程度，包括安全流程的正規化程度。	對于高度成熟的安全組織來說，更加聯合和分散的結構可能會發揮作用，因為安全實踐更有可能鞏固在組織的 DNA 中。 對于成熟度較低的安全組織，網絡安全領導者應保持高風險領域的集中化，并通過培訓業務部門更好地降低安全風險，逐步實現聯合模式。
垂直行業	企業所針對的特定市場、業務線和客戶，每個都為企業帶來其獨特的威脅、漏洞和安全要求。	根據不同市場/地區的運營要求，垂直行業可能需要專業人才/工作組或地方自治。
信息安全的本質	一套特定于企業的學科、控制和行為，應涵蓋安全組織中的所有橫向和縱向職能。	該因素經過定性評估，涵蓋了安全組織的企業特定要求。
采購模式	安全人員、業務流程、IT 支持和安全管理的外包水平。	高水平的外包提出了新的管理要求，自然也帶來了更精簡的安全組織設計。
合規性要求	企業必須遵守監管合規要求，并承受外部壓力，以展示有效的信息安全措施的可辯護證據。	合規性要求決定了安全組織內部的治理結構和實踐；例如，隱私法規合規的主要責任將追溯到法務部門。盡管身份和訪問管理以及數據安全團隊提供并執行了控制措施，但通常情況下，數據保護或隱私官會向法務部門匯報。

來源：Gartner（2025 年 4 月）

雖然該模型看起來合乎邏輯，但它沒有認識到通過集中某些運營活動（例如全天候監控和一級事件響應）可以實現的規模經濟。可擴展性、杠桿作用和規模經濟是緩解某些功能分散化的主要因素（見圖2）。

圖2：影響安全功能定位的因素

調整當前網絡安全組織實踐以反映企業的現實情況

在理想的世界中，網絡安全組織將從頭開始設計和構建，并選擇流程、人員和技術來支持業務成果。

然而，網絡安全組織的發展往往伴隨著不斷變化的管理模式和管理重點、監管要求，或來自審計師或顧問的建議，而這些審計師或顧問并不完全了解業務或其風險狀況。這是一個嚴重且持續存在的問題，因為安全組織被要求執行一項對業務目標具有直接且可量化影響的職能。

必須認識到，沒有一種“適合”所有企業網絡安全組織的架構。其架構應根據上述設計因素、企業獨特的業務需求以及特定時期的運營環境，針對特定企業進行優化。一個或多個因素的變化可能會觸發現有安全模型的重組。

因此，SRM 領導者需要捕捉并分析可能影響這些決策的觸發因素。常見的例子包括監管環境的變化、業務需求（例如進行并購或轉向聯合模式），以及安全范圍的擴大，涵蓋 IT/OT/物聯網 (IoT) 和信息物理系統 (CPS) 等。

基于這些觸發因素的組織設計常見變化包括：

• 通用集中式模型

• 高度聯合的組織

• 產品導向的安全組織

• 精益安全組織方法

• 中小型企業的安全

• 組織信息物理連續體

通用集中模型

圖 3 展示了一個通用的集中式網絡安全組織模型，它有兩種變體：

• CISO?向 CIO 匯報（灰色匯報線）

• CISO?在 CIO 組織之外進行報告，在本例中為首席風險官 (CRO)（橙色報告線）

圖 3：通用集中式模型——一個說明性示例

將 CISO 職能移出 IT 部門的決定通常是出于審計壓力，旨在賦予 CISO 更大的自主權。然而，這在很大程度上也取決于底層安全流程的成熟度，成熟度越高，開發實用的RACI 圖表就越容易。此外，還需要一定的矩陣式或協作式工作環境經驗，以便在建立新的工作關系時擁有更大的靈活性。

Gartner 2023?年網絡安全領導者演變及其職能調查顯示，超過 50% 的網絡安全領導者沒有向 CIO 匯報。將 CISO 職能從 IT 部門轉移出去的決定通常是出于審計壓力，旨在賦予 CISO 更大的自主權。然而，這在很大程度上也取決于底層安全流程的成熟度，更高的成熟度使得開發實用的RACI 圖表變得更加容易。此外，這還需要在矩陣式或協作式工作環境中積累一定的經驗，以便在建立新的工作關系時擁有更大的靈活性。

值得注意的是，當 CISO 職能從 IT 部門移出時，通常并非所有安全職能都會隨之移出。在大多數情況下，只有治理、風險與合規 (GRC) 類職能（即策略管理、保障、戰略與項目管理以及風險管理）會向 IT 部門以外的部門匯報。所有其他職能（基礎設施和數據安全、身份和訪問管理以及安全運營）仍保留在 IT 部門內。

表 2 說明了將 CISO 調出 IT 部門時需要考慮的優點和缺點。

表 2：?將 CISO 調離 IT 部門的優勢與劣勢

優勢	缺點
這種方法通過提升安全角色的形象、影響力和權威性，提高了協調和標準化關鍵安全流程的能力。這在分散的聯合組織中尤其重要。	協調IT和信息安全工作活動更加困難；所有安全項目都依賴于IT，反之亦然。然而，在依賴于IT基礎設施的轉型中，這種困難更加明顯。
這種方法使 CISO 獨立于 CIO，從而降低了利益沖突的風險。	這種方法可能會引發安全主管和 IT（包括“保留”的 IT 安全功能）之間關于各種安全功能的責任、所有權和職責（誰擁有什么）的沖突。
這種方法有助于打破企業思維中“安全是 IT 問題”的觀念。	外部安全功能可能會失去 IT 組織內部的影響力和權威。

來源：Gartner（2025 年 4 月）

高度聯合的組織

為了應對企業內部網絡風險決策的數量、復雜性和分散性呈指數級增長，網絡安全組織正變得更加聯合和分散——即使在原本集中化的企業中也是如此。圖4展示了這種高度聯合的安全組織結構的概念模型。

圖 4：高度聯合的組織——一個說明性示例

許多企業將安全治理、戰略和管理等網絡安全職能分離，以平衡監督、執行和標準化，同時確保與業務目標保持一致。對于擁有自主業務部門的企業，制定和管理本地風險管理、安全政策和戰略的能力可能至關重要。

聯合企業受益于利益共同體或卓越中心 (COE) 等協作結構，這些結構增強了身份和訪問管理以及風險管理等關鍵安全主題上的溝通和知識共享。

產品導向的網絡安全組織

企業轉向融合團隊和其他以產品為中心的數字化交付模式，給那些為支持階段門項目而優化的網絡安全實踐帶來了新的挑戰。全球范圍內，企業正在其中央IT職能部門內外轉向以產品為中心的數字化交付。他們這樣做是為了打破規模效率與上市速度之間的傳統權衡。

在這些情況下，安全功能通常仍被視為共享服務功能。然而，此類企業的網絡安全領導者正在通過引入安全主管和產品安全服務經理來加強與產品中心團隊的互動（見圖5）。

圖 5：以產品為導向的網絡安全組織

精益網絡安全組織方法

許多 Gartner 客戶已經通過設計或環境因素成功實施了“精益”網絡安全組織戰略，以優化稀缺的安全資源（見圖 6）。

圖 6：精益網絡安全組織方法——一個說明性示例

在精益安全方法中，SRM領導者可能會將傳統的安全職能轉移到企業的其他部門。例如，IT部門負責終端和網絡安全，而企業溝通部門則負責管理安全意識工作。雖然這可以改善風險決策，但將安全角色分散到不同的團隊可能會帶來挑戰，尤其是在跨國企業中。最后，這種策略不應被視為一種削減成本的做法。

中小型企業的網絡安全

在擁有 500 到 3,000 名用戶的企業中，安全通常由兩到三人的小型安全團隊管理（見圖 7）。

圖 7：中小型企業的網絡安全——一個說明性示例

在這個例子中，首席信息官通常負責戰略、政策、風險管理、合規性、業務社區管理、意識和保障流程。可能會有一兩名安全分析師協助處理與技術戰略、日志分析、事件響應和監控相關的更多運營流程。根據企業類型的不同，運營活動可能會分配給系統運營部門，或外包給托管安全服務提供商 (MSSP)。

在傳統上擁有少于 50 名全職 IT 員工的中型企業 (MSE) 中，CIO 通常擔任安全項目的負責人。當企業無力承擔聘請全職 CISO 或同等職位的工作量或預算時，就會出現這種情況。在某些情況下，可以使用虛擬 CISO (?vCISO?) 來緩解這種情況。

此外，微型和中小型企業（MSE）很難找到網絡安全專家。這種空缺往往導致信息安全的責任被分配給非安全專家的網絡工程師和IT經理，這意味著安全團隊“精簡”。

組織網絡物理連續體

物理組件（例如IoT、OT）的數字化程度不斷提高，催生了一門新學科——信息物理系統安全 (CPS-Sec)。隨著 CPS 環境的不斷發展，首席信息官 (CIO) 和首席信息安全官 (CISO) 的角色也將隨之發生變化。圖 8 展示了將 CPS-Sec 集成到網絡安全功能中的一個概念模型。

圖 8：組織信息物理連續體——一個說明性示例

負責 CPS 的 SRM 領導者必須應對文化挑戰，確保 CPS-Sec 被視為業務的增值部分，而非危言聳聽、阻礙重重且成本高昂的因素。智能電網的安全問題可能對人類和基礎設施造成破壞性的動態后果。如果人類缺乏安全感，智能樓宇、園區或城市將變得冷清。