最“痛苦”的高管：高薪、高压、高离职

首席信息安全官(CISO)是C-suite里薪酬增速最快、也是任期最“短”的职位——18个月的平均任期，75%想离职。

在今天，CISO被视为最“痛苦”的高薪工作。

从一张空白支票到十张账单

1995年，花旗银行被俄罗斯黑客盗走40万美元，CEO给了新聘的Steve Katz一张空白支票：“去建世界上最好的安全部门。”

Katz由此成为全球第一位CISO。那时候，CISO只管一件事——网络安全。

三十年后，这张支票被兑付了十次。现代CISO被期望在治理框架、风险管理、零信任架构、合规监督、云安全、AI安全、事件响应、供应链风险、业务连续性等十多个领域保持专业能力。

CISOteria 2026年的分析指出，没有其他C-suite面临如此跨度的责任——CFO不会亲自管薪资、应付、税务每个环节，每个领域都有专门团队，但CISO被期待当“通用专家”。

职责膨胀了，权力却没有跟上。

Heidrick & Struggles的数据显示，CISO直报CEO的比例从2023年的5%飙升至2025年的42%，三年翻了8倍。

这个数字看起来是进步，但翻译过来就是——到2023年，95%的CISO连CEO的面都见不到。

作为参照，CIO在20世纪80年代就已进入企业董事会，比CISO早了十多年。

高薪留不住人

美国大型企业CISO平均总薪酬164.8万美元（1114万人民币），Top1%的薪酬超过了320万美元（2164万人民币）。

这个薪酬水平在C-suite里不算低，但钱留不住人。

Cybersecurity Ventures的报告显示，CISO典型任期仅18至26个月，而标普500企业的 C-suite平均任期为5.2年。

75%的CISO愿意在未来一年内更换工作甚至彻底离开CISO岗位——2025年这个群体的换雇主比例从11%升至15%，工作满意度从74%跌至64%。

Nagomi Security 2025年CISO压力指数报告给出了更尖锐的数字：80%的CISO处于高压或极端高压状态，67%每周或每天都在经历职业倦怠。

84%的CISO认为这个角色应该拆成两个——一个管技术，一个管业务沟通。一些公司已经这么做了，设立首席信任官 (CTrO)分担对外沟通，CISO专注网络防御。但拆了之后，“无限责任”分给谁？

中国：同一个困局，十分之一的价格

全球42%的CISO直报CEO，中国只有27.2%——另有41.1%向“分管领导”汇报。47.4%的中国CISO仅为总监级别，40.4%在总监以下。政府体系中，61.7%是科级。

很多中国CISO连高管都不是，却在承担高管的合规责任。

薪酬差距更加刺眼。中国CISO年薪50万至120万人民币，美国同类岗位约1,190万人民币——差10到20倍。

据行业报道，多数央企在《数据安全法》实施后已增设CISO，薪资溢价35%至40%，但基线太低，溢价填不平鸿沟。

合规压力却没有打折。三法一条例加等保体系构成了全球最密集的网络安全合规框架之一。2026年新版《网络安全法》从“形式合规”转向“实质合规”——过去做完等保测评就算合规，现在要证明安全措施真的有效。“双罚制”下，直接负责的主管人员个人罚款最高100万元。

更根本的问题是岗位设置率。仅30.2%的机构正式设立CSO/CISO岗位，49%完全没有且不考虑设置。在AI安全领域，人才供给不足市场需求的5%。

时代挑战与转型之路

是什么让高薪也留不住人？

一、AI让可见性归零。

83%的企业已落地AI应用，但仅13%清晰掌握AI对敏感数据的访问。78%的员工使用未经批准的AI工具，69%的组织怀疑员工在使用被禁止的公共生成式AI。

影子AI的泛滥意味着CISO被期待阻止他看不见的风险——IBM 2025年数据泄露成本报告发现，涉及影子AI的数据泄露事件，每次额外增加67万美元成本。37%的CISO已将保障AI代理安全列为首要关切。

二、 人才荒让孤独加倍。

ISC2 2024年报告显示全球约480万网络安全岗位空缺，中国缺口据行业研究达200万人。59%的企业存在关键技能需求缺口，远高于2024年的44%。CISO的团队永远缺人，而他替缺人的后果买单。

三、法律追责让“没做好”离“犯法”只有一步。

Uber前CISO Joe Sullivan因未披露2016年数据泄露事件，2023年被判妨碍联邦调查和知情不报，处三年缓刑。SolarWinds CISO Tim Brown 2023年被SEC点名起诉，指控与2020年供应链攻击有关。

D&O保险（董监事及高级管理人员责任保险）覆盖率从2024年的40%升至2025年的50%以上，越来越多的CISO开始自费购买保险。退休CISO Martin Whitworth说得直白：“CISO需要承担运营、战略、风险和人事等多重角色，这足以让任何人筋疲力尽。”

顶尖CISO正在集体转身。Google Cloud的Phil Venables离职加入风投，T-Mobile前首席安全官转行做天使投资人，NSA前网络安全负责人退休后也进了VC——当最懂安全的人选择离开安全，问题就不只是个人的了。

Fortinet 2026年CISO预测报告指出，CISO正在向“首席弹性官”转型——KPI从“零漏洞”变成“多快恢复”。这是好事，说明企业终于承认零风险不存在。

但换个Title解决不了根本问题：职责还在膨胀，人才还在流失，追责还在收紧。高薪能招来人，但留不住人。