Gartner发布网络安全组织设计指南:设计网络安全组织的五项原则和六种主要安全组织类型
安全和风险管理领导者经常寻求一种通用的模型来组织其职能,这可能导致效率低下和需求得不到满足。然而,目前并没有一个标准的组织模型。这项研究可以帮助他们根据企业实际情况,设计出最合适的网络安全组织。
主要发现
-
许多安全和风险管理 (SRM) 领导者仍在寻找完美的网络安全组织,但动态的商业环境却需要企业特定的最佳拟合模型。
-
企业风险偏好、企业文化和成熟度水平等许多因素都会影响安全团队的设计,使安全组织规划变得复杂。
-
企业开始意识到现实,重组并不能提高它们的效率或安全性,因为它无法解决更深层次的治理或文化问题。
建议
-
通过确定所需的安全功能来设计网络安全组织,旨在实现监督和执行分离,避免试图“做所有事情”,承认完美不是一种选择,并避免基于行业建议或同行比较进行构建。
-
评估影响网络安全组织设计的相关因素,包括商业模式、规模、流程成熟度、治理原则、风险偏好和文化。
-
调整当前的网络安全组织实践以反映企业的文化、政治和治理现实。
概述
网络安全没有单一的、普遍接受的组织模式;有几个企业特定的因素会影响最佳团队的设计。
企业数字化转型的程度、速度和复杂性,对网络安全组织的设计和管理方式有着重大影响。随着业务流程日益数字化,数字化应用日益普及,安全流程和能力也需要随之发展。
此外,持续存在的安全技能短缺加剧了网络安全组织设计的复杂性。根据Gartner《2025年首席信息官人才规划调查》,74%的受访者表示,网络安全技能缺口将对其实现2025年目标的能力产生中度至严重的影响。
托管安全服务和外包一直是标准的人员扩充解决方案。然而,这些方案使企业更加依赖外部资源(例如顾问、承包商和托管服务提供商),并增加了新的管理要求。
相反,我们需要更具创新性的方法,包括采用正式的精益安全组织,并在企业内任命安全负责人、业务信息安全官 (BISO) 和本地信息安全官 (LISO)。在选择自身方法时,SRM 领导者必须致力于构建最合适的团队结构,以反映企业实际情况并满足业务需求,而非追求完美。
SRM领导者必须了解安全组织结构演变的宏观趋势。这些趋势的核心是安全管理能力集群的出现,这些能力集群应为任何安全组织设计奠定基础(见图1)。这不仅有助于他们设计最终以最有效的方式促进业务成果的结构,还能使他们能够持续评估团队的效率。
图 1:安全能力集群的通用视图
SRM领导者面临的挑战是如何将这些能力纳入其安全组织最合适的架构中。本研究概述了指导此类设计工作的因素、成熟实践和趋势。
分析
使用五项原则设计网络安全组织
避免为了解决需要更具体干预的治理或文化问题而改变网络安全组织结构。在设计网络安全组织时,请遵循以下五项原则:
-
评估所需的安全功能(例如应用安全),并大致定义这些功能所基于的流程(例如应用安全测试),包括定义高级流程和负责、可问责、咨询和知情 (RACI) 图表。使用流程和 RACI 图表来确定相应功能的最佳位置。
-
安全组织设计的一个关键目标是实现监督(例如策略管理和保障)与运营(例如安全工具管理)之间充分的分离。这种分离是将首席信息安全官 ( CISO ) 的汇报线从 IT 组织中移除的主要驱动力之一。然而,它也可以在更具体的战术层面发挥作用。例如网络安全团队负责申请并批准防火墙规则的变更,而安全管理团队则负责实施这些变更。可扩展性(即团队中可用的人数)是实现有效分离的主要障碍。
-
很少有企业能够承担所有内部安全功能。考虑选择性地外包某些功能,尤其是那些运营性或临时性的功能。
-
鉴于影响安全团队设计的因素众多,首次构建团队的尝试几乎不可能完美无缺。最好的方法是实施新的设计,然后通过实践经验进行完善。力求实现可衡量的持续改进。
-
这些做法不可避免地会导致安全与业务之间的利益冲突和文化脱节。这些做法通常不适合您组织的独特需求,也不符合您的风险偏好。
评估影响网络安全组织设计的相关因素
除了上述原则之外,网络安全领导者还应评估表 1 中列出的因素,以确定它们对网络安全组织设计的影响。
表 1: 影响网络安全组织设计的因素
| 因素 | 描述 | 说明性影响 |
| 企业结构 | 企业中各种业务任务和活动的执行系统。这通常取决于:
| 这些因素经过定性评估,决定了安全功能的集中化或分散化程度。 |
| 企业文化 | 需要考虑的文化因素包括:
| 这些因素经过定性评估,决定了企业的报告结构和联合程度。 |
| 企业风险偏好 | 企业主动投资安全和风险缓解策略的程度。 | 较低的风险偏好可能导致具有各种专门功能的更详尽的设计,而较高的风险偏好可能导致由于投资较少而导致的安全组织更精简。 |
| 安全实践的成熟度 | 企业的安全实践足以保护其信息和资产并及时应对潜在的安全威胁的程度,包括安全流程的正规化程度。 | 对于高度成熟的安全组织来说,更加联合和分散的结构可能会发挥作用,因为安全实践更有可能巩固在组织的 DNA 中。 对于成熟度较低的安全组织,网络安全领导者应保持高风险领域的集中化,并通过培训业务部门更好地降低安全风险,逐步实现联合模式。 |
| 垂直行业 | 企业所针对的特定市场、业务线和客户,每个都为企业带来其独特的威胁、漏洞和安全要求。 | 根据不同市场/地区的运营要求,垂直行业可能需要专业人才/工作组或地方自治。 |
| 信息安全的本质 | 一套特定于企业的学科、控制和行为,应涵盖安全组织中的所有横向和纵向职能。 | 该因素经过定性评估,涵盖了安全组织的企业特定要求。 |
| 采购模式 | 安全人员、业务流程、IT 支持和安全管理的外包水平。 | 高水平的外包提出了新的管理要求,自然也带来了更精简的安全组织设计。 |
| 合规性要求 | 企业必须遵守监管合规要求,并承受外部压力,以展示有效的信息安全措施的可辩护证据。 | 合规性要求决定了安全组织内部的治理结构和实践;例如,隐私法规合规的主要责任将追溯到法务部门。尽管身份和访问管理以及数据安全团队提供并执行了控制措施,但通常情况下,数据保护或隐私官会向法务部门汇报。 |
来源:Gartner(2025 年 4 月)
虽然该模型看起来合乎逻辑,但它没有认识到通过集中某些运营活动(例如全天候监控和一级事件响应)可以实现的规模经济。可扩展性、杠杆作用和规模经济是缓解某些功能分散化的主要因素(见图2)。
图2:影响安全功能定位的因素
调整当前网络安全组织实践以反映企业的现实情况
在理想的世界中,网络安全组织将从头开始设计和构建,并选择流程、人员和技术来支持业务成果。
然而,网络安全组织的发展往往伴随着不断变化的管理模式和管理重点、监管要求,或来自审计师或顾问的建议,而这些审计师或顾问并不完全了解业务或其风险状况。这是一个严重且持续存在的问题,因为安全组织被要求执行一项对业务目标具有直接且可量化影响的职能。
必须认识到,没有一种“适合”所有企业网络安全组织的架构。其架构应根据上述设计因素、企业独特的业务需求以及特定时期的运营环境,针对特定企业进行优化。一个或多个因素的变化可能会触发现有安全模型的重组。
因此,SRM 领导者需要捕捉并分析可能影响这些决策的触发因素。常见的例子包括监管环境的变化、业务需求(例如进行并购或转向联合模式),以及安全范围的扩大,涵盖 IT/OT/物联网 (IoT) 和信息物理系统 (CPS) 等。
基于这些触发因素的组织设计常见变化包括:
-
通用集中式模型
-
高度联合的组织
-
产品导向的安全组织
-
精益安全组织方法
-
中小型企业的安全
-
组织信息物理连续体
通用集中模型
图 3 展示了一个通用的集中式网络安全组织模型,它有两种变体:
-
CISO 向 CIO 汇报(灰色汇报线)
-
CISO 在 CIO 组织之外进行报告,在本例中为首席风险官 (CRO)(橙色报告线)
图 3:通用集中式模型——一个说明性示例
将 CISO 职能移出 IT 部门的决定通常是出于审计压力,旨在赋予 CISO 更大的自主权。然而,这在很大程度上也取决于底层安全流程的成熟度,成熟度越高,开发实用的RACI 图表就越容易。此外,还需要一定的矩阵式或协作式工作环境经验,以便在建立新的工作关系时拥有更大的灵活性。
Gartner 2023 年网络安全领导者演变及其职能调查显示,超过 50% 的网络安全领导者没有向 CIO 汇报。将 CISO 职能从 IT 部门转移出去的决定通常是出于审计压力,旨在赋予 CISO 更大的自主权。然而,这在很大程度上也取决于底层安全流程的成熟度,更高的成熟度使得开发实用的RACI 图表变得更加容易。此外,这还需要在矩阵式或协作式工作环境中积累一定的经验,以便在建立新的工作关系时拥有更大的灵活性。
值得注意的是,当 CISO 职能从 IT 部门移出时,通常并非所有安全职能都会随之移出。在大多数情况下,只有治理、风险与合规 (GRC) 类职能(即策略管理、保障、战略与项目管理以及风险管理)会向 IT 部门以外的部门汇报。所有其他职能(基础设施和数据安全、身份和访问管理以及安全运营)仍保留在 IT 部门内。
表 2 说明了将 CISO 调出 IT 部门时需要考虑的优点和缺点。
表 2: 将 CISO 调离 IT 部门的优势与劣势
| 优势 | 缺点 |
| 这种方法通过提升安全角色的形象、影响力和权威性,提高了协调和标准化关键安全流程的能力。这在分散的联合组织中尤其重要。 | 协调IT和信息安全工作活动更加困难;所有安全项目都依赖于IT,反之亦然。然而,在依赖于IT基础设施的转型中,这种困难更加明显。 |
| 这种方法使 CISO 独立于 CIO,从而降低了利益冲突的风险。 | 这种方法可能会引发安全主管和 IT(包括“保留”的 IT 安全功能)之间关于各种安全功能的责任、所有权和职责(谁拥有什么)的冲突。 |
| 这种方法有助于打破企业思维中“安全是 IT 问题”的观念。 | 外部安全功能可能会失去 IT 组织内部的影响力和权威。 |
来源:Gartner(2025 年 4 月)
高度联合的组织
为了应对企业内部网络风险决策的数量、复杂性和分散性呈指数级增长,网络安全组织正变得更加联合和分散——即使在原本集中化的企业中也是如此。图4展示了这种高度联合的安全组织结构的概念模型。
图 4:高度联合的组织——一个说明性示例
许多企业将安全治理、战略和管理等网络安全职能分离,以平衡监督、执行和标准化,同时确保与业务目标保持一致。对于拥有自主业务部门的企业,制定和管理本地风险管理、安全政策和战略的能力可能至关重要。
联合企业受益于利益共同体或卓越中心 (COE) 等协作结构,这些结构增强了身份和访问管理以及风险管理等关键安全主题上的沟通和知识共享。
产品导向的网络安全组织
企业转向融合团队和其他以产品为中心的数字化交付模式,给那些为支持阶段门项目而优化的网络安全实践带来了新的挑战。全球范围内,企业正在其中央IT职能部门内外转向以产品为中心的数字化交付。他们这样做是为了打破规模效率与上市速度之间的传统权衡。
在这些情况下,安全功能通常仍被视为共享服务功能。然而,此类企业的网络安全领导者正在通过引入安全主管和产品安全服务经理来加强与产品中心团队的互动(见图5)。
图 5:以产品为导向的网络安全组织
精益网络安全组织方法
许多 Gartner 客户已经通过设计或环境因素成功实施了“精益”网络安全组织战略,以优化稀缺的安全资源(见图 6)。
图 6:精益网络安全组织方法——一个说明性示例
在精益安全方法中,SRM领导者可能会将传统的安全职能转移到企业的其他部门。例如,IT部门负责终端和网络安全,而企业沟通部门则负责管理安全意识工作。虽然这可以改善风险决策,但将安全角色分散到不同的团队可能会带来挑战,尤其是在跨国企业中。最后,这种策略不应被视为一种削减成本的做法。
中小型企业的网络安全
在拥有 500 到 3,000 名用户的企业中,安全通常由两到三人的小型安全团队管理(见图 7)。
图 7:中小型企业的网络安全——一个说明性示例
在这个例子中,首席信息官通常负责战略、政策、风险管理、合规性、业务社区管理、意识和保障流程。可能会有一两名安全分析师协助处理与技术战略、日志分析、事件响应和监控相关的更多运营流程。根据企业类型的不同,运营活动可能会分配给系统运营部门,或外包给托管安全服务提供商 (MSSP)。
在传统上拥有少于 50 名全职 IT 员工的中型企业 (MSE) 中,CIO 通常担任安全项目的负责人。当企业无力承担聘请全职 CISO 或同等职位的工作量或预算时,就会出现这种情况。在某些情况下,可以使用虚拟 CISO ( vCISO ) 来缓解这种情况。
此外,微型和中小型企业(MSE)很难找到网络安全专家。这种空缺往往导致信息安全的责任被分配给非安全专家的网络工程师和IT经理,这意味着安全团队“精简”。
组织网络物理连续体
物理组件(例如IoT、OT)的数字化程度不断提高,催生了一门新学科——信息物理系统安全 (CPS-Sec)。随着 CPS 环境的不断发展,首席信息官 (CIO) 和首席信息安全官 (CISO) 的角色也将随之发生变化。图 8 展示了将 CPS-Sec 集成到网络安全功能中的一个概念模型。
图 8:组织信息物理连续体——一个说明性示例
负责 CPS 的 SRM 领导者必须应对文化挑战,确保 CPS-Sec 被视为业务的增值部分,而非危言耸听、阻碍重重且成本高昂的因素。智能电网的安全问题可能对人类和基础设施造成破坏性的动态后果。如果人类缺乏安全感,智能楼宇、园区或城市将变得冷清。