本文为PQC治理深度解析系列之一者，欲悉治理之全模（谁主其事，导委员会如何运作，问责执行者所需），当始于系列之概览。此系列之文，乃取自吾将出之书Quantum Ready。

引言

吾之PQC治理概览出版未几，即发此文。，吾得 transformation leader 之详答，谓 CISO 不可主 PQC 迁移，盖此职乃二线监察之务，非运营交付之任也。依三道防线（3LoD）之模，其言曰，使 CISO 负 PQC 迁移，则混淆治理与执行矣。

其框架固善。然其前提谬矣。非因三LoD模型有缺，实因其设CISO之职仅一版本，而此版本非实践之实。

此文述组织设 CISO 之实异，释其异于 PQC 治理之要，并呈决断之纲，以辨孰当主 PQC 迁移于尔曹之司。此乃全篇之一也。PQC项目交付深度解析系列.

CISO之职非一职也

吾IANS研究及Artico搜索2026首席信息安全官基准报告 之察也，六十四百分之 CISO 仍报于 IT（多报于 CIO 或 CTO）。十一百分之报于 CEO，其余者则分报于 CFO（五百分之）、CRO（五百分之）、总法律顾问（五百分之）及他商业之职。此百分数所述者，乃报告之线，然于 CISO 所实为之事，几无道也。

一CISO向一CIO于中市场制造企业汇报者，或可率十二人，主理漏洞扫描与事件响应，然于基建决策无权。一CISO向一CIO于全球银行汇报者，或可率二千人，掌管PKI之务，运HSM之基，领安全工程，且得常邀入董事会风险委员会。同一路线而报，角色、权责、运作之域，迥然不同。

三层数据模型增一变层。诸组织置首席信息安全官，或纯一线上（在首席信息官之下施设安全之制），或纯二线上（在首席运营官之下定立政策），或杂糅“1.5层数据”之模。，EY所言之定位，使CISO立于IT与风险之间，而报于二途。欧陆诸邦之监者，于某些疆域，积极劝阻CISO向CIO报事，力推其位次于CRO之下。而美利坚之金融监者，于报事之制，则较为宽纵，惟要独立之验耳。

凡泛论CISO当否主PQC迁者，皆论架空之职，非论具体之实。此问不可泛答，须辨CISO何人，属何构架，具何权柄，行何治制。

六种实务之模

吾尝察四海之金融机构，评其技术风险治理之构，而CISO之位，其变远超诸理论之框。今列六模，匿其名而存其构.

模一：纯二线CISO

构： 有一美國十大銀行，其網絡安全長官（CISO）既向首席信息官（CIO）復命，亦向二線之首席技術風險官（CTRO）稟職。CISO之職，純為監督與制訂方針。安全運作（SOC、弱點管理、事件應對）則隸屬於CIO之第一線技術部門。CISO立標準、審合規、報風險，然不司安全基礎設施之運作。

PQC之意涵： 此模中，CISO不宜主PQC迁之实。彼无有迁之基构。CIO或CTO主初线之密术（PKI、HSM、网密），PQC迁乃初线之运递程，当属其事。CISO之任，在察：验迁合安标，PQC算法施之当，且风险之态随迁而进。

谁主PQC之务？首席信息官或首席技术官，辅以首席信息安全官之次级保障，并使首席风险官融量子风险于企业风险之框架。

模式二：混一A/一B首席信息安全官

结构： 有一全球首屈一指之保管银行，其首席信息安全官（CISO）虽居第二线，然明负一线之实务。此CISO之绩效指标（KPIs）与安全操作之项目预算相系，主理安全工程之职，操持公钥基础设施（PKI）。其汇报之线称“第二线”，然实务乃混合之态：政策与监察之职能，并存于对安全设施之直接操控。

PQC之意： 此CISO已掌管密码之基。令其主理其已操之系统之PQC迁转，乃扩其既有之责。三权分立之制，谓此不宜效。然实践之中，行之甚善，盖因最谙密码之产者，亦即有权更易之者。

孰主PQC？ CISO之职，有企业风险职能为之独立监督，CIO之应用团队则自主管理其迁移小队，而受CISO之纲领统辖。

模式三：纯粹一线CISO

结构： 举世投资银行，实无技术风险之次线。CISO皆在CIO首线之内，独运其权。安全运作、安全工程、PKI、HSM、事件响应、安全架构，皆禀于CISO，CISO复禀于CIO。CRO之部，掌企业市场风险、信用风险、运营风险，然技术风险，则CIO之域也。

PQC之蕴此乃PQC治理之最直截模型。CISO既掌安全基建，亦主安全运作。PQC迁移乃其自然延伸。然风险在于，若无第二线之独立，CISO或受压力，于迁移质量姑息，以应CIO之交付时序。宜设独立之确证职能（如内部审计或专司技术风险之团队），以验其质。

谁领PQC？ CISO者，由CIO而报，内审以立独立之信也。

模式四：基建CISO（CIO向CISO报）

结构： 欧洲某通银行，罹数重巨劫，遂更制其构，使 CIO 事 CISO。CISO 拥所有技构，凡 CIO 所掌之系皆在其权。此制终复，然其行之时，CISO 之权及于网构、应平台、安运诸事。

PQC之意： 此CISO之权，远超PQC迁移之需。非其能否领导PQC，乃其有无余力耳，盖其亦掌全部IT之基也。必设专司之厅（如治理概览所述），以防PQC与CISO之广基任相竞。

谁领PQC？首席信息安全官，有强健之项目管理办公室，护此项目，使其免受竞争性基础设施之优先权所扰。

模型五：联盟式双异构模型

结构： 另有通银，其联邦事业部 CISO（BISO）者，报于信息风险总管（CIRO），而 CIRO 则报于集团 CIO 与集团 CRO 两者。每 BISO 自掌其事业部之安全运作。CIRO 设立全域安全之方略与标准。公钥基础设施及硬件安全模块之设施，虽共享于各事业部，然由 CIRO 之下中央安全工程之队统理。

PQC 之影响： 此模宜于宏巨繁复之构。CIRO立PQC迁转之制与时序。每BISO自主其营业单元之应用层迁转。中枢安署队掌理共用基构层（PKI、HSMs、网络加密）。其难，IBM之Antti Ropponen 论治理概览时所述也。者，务使业务部门早与公司相接，且使BISOs得列于舵组之中。

孰主PQC：乃企业之CIRO，BISOs主业务单元之执行，中央工程团队则掌共通之基设。

模式六：董事会报告型CISO

结构： 东南亚银行中，首席信息安全官直向董事会汇报。其职司与董事会风险管理委之间，无任何中介层。此使首席信息安全官于首席信息官之组织全然独立，且得直通董事会之决策权。

PQC之影响： 此 CISO 拥有 PQC 迁移之最强命令。董事会汇报，则 CISO 可直呈资源冲突、供应商依赖之问题及业务单元之抗拒于董事会，无需经 CIO 或 CRO 之手，彼等或存竞逐之优先。然风险在于，若无与 CIO 技术组织之强韧运营关系，CISO 或难驱动 PQC 所需之技术执行。

孰主PQC： CISO也，与CIO之运营合伙，于导委员会章程中明定之。

权柄之隙：正式与实际

前六模型，述正式之汇报结构。CISO所行实权，常逾组织图所示。

吾所察诸银，其 CISO 旧隶 CIO 之下者，亦得独立召集相关董事会委员会。此召集之权，不见于组织图，而载于委员会章程或主席之函。其实，CISO 可直诉诸董事会，不待 CIO 之许可、核准，乃至知闻。

观彼诸组织之组织图者，见首线CISO（首席信息安全官）报于CIO（首席信息官）。察CISO行事者，见其有独立于董事会之权，得凭安全之故覆CIO之决，且于密码设施之决有实际之权。其名位之设与实权所在，实相去甚远。

此关乎PQC治理，盖因“CISO是否有足够能权以主PQC迁转”之问，非观组织图谱所能答。唯察CISO实有决断之权：预算之权、召集之权、升级之权，及强令跨职能参与之能，方可得解。

CTO主之项目何以更效

治理概览尝言，CISO乃多数组织中PQC迁移之当权者。然“多数”一词，实关紧要。有组织结构，CTO方为上选，CISO于此，当无愠色。其旨在于事功之成，非名位之固也.

CTO主导之PQC计划，当三条件具时，方能畅行。

首，CTO主掌密码之业。若PKI、HSM、证书生命周期管理及密钥管理系统，皆属CTO之司（而非CISO），则CTO得掌基建，使迁移之事易如反掌。使不司PKI之CISO主领PKI迁移，则权责有隙，导委员会将费月余以弥之。

其次，CTO已显企业转型之能。PQC迁移需能驱策诸司之变，议定供应商之倚，迫应用之众优先迁移之事，兼其常业之务。非每CTO皆具此组织之力。惟其已成大规模平台迁移、云化转型、企业架构大革者，方有制令PQC之公信。

三，则首席信息安全官（CISO）主第二线之监督。在首席技术官（CTO）主事之模中，CISO之职转为验证与确信：察PQC之实施合乎安全之标准，算法之择取顺应法规之要求，混合部署之策不生新之隐患，迁徙之际不令既有之安全态势于过渡之时有隙。

最劣之配置，乃委PQC于CISO，此人非掌密码之基，又无统摄之权，不能强CTO之众以行。是故责权既立，而权柄不存，此乃政令徒具文，系统终未迁之由也。

决断之纲

诸组织决PQC迁转之主，当问三事，则答案自现。

問一：加密運營之境位何在？若PKI、HSM、證書生命週期管理及密鑰管理皆歸CISO管轄，則CISO主導。若歸CTO或CIO管轄，則該高層主導（或與CISO共主導）。若分設，則擁有最大基礎設施股份之高層主導，他方則提供執行支持與監督。

其二：所立之长，可有跨部门变革之权欤？ 可集工程、应用之众，采办、法务、商务之司乎？可强令参与，非惟请之？若否，则导委员会之约必明授此权，而董事会须为之佐。

其三：可有可信之监察之职乎？ 若CISO主事（首线之职），孰供独立次线之验，以证迁徙得宜？若CTO主事，则CISO充此职。若CISO主事，则企业风险之司或内审充之。必当有位，得以诘问其事，而不预于其事。

此三者之答，可指明特定之治理配置。于多数组织（尤以CISO操弄安全设施者为甚），CISO主之，CTO之应用团队行之。于纯第二线CISO之组织，CTO主之，CISO供保。于联邦模型，CIRO或等阶之企业安全高管主之，BISO驱动业务单元之行。

“大桌之理”

吾常闻一论，谓PQC迁移之巨，跨职能之广，远超寻常网络安全之事，故需新式之高级行政领导：或设“首席密码官”，或立专司转型之长，直报于董事会，抑或他类于现行治理框架中未尝有之之职。

吾知其情。PQC乃宏图大业。于吾之十二万任务剖析中，吾称其或为企界史上最大之密码变革。凡系统、凡协议、凡厂商之谊、凡数字信任之理，莫不涉焉。其规模远超寻常之网络安全工程。

然若困厄逾于既有之职，当应者乃扩其权能，使居其位者得领之，非创无例之新位也。此新位既无规约之先例，亦无治理之框架，更无制度之信义。吾辈非求新席，惟愿授适者以广桌耳。

曩十载间，凡重大安全之变，皆循此道。云安全，非需设云安全总长，乃扩CISO之职，兼摄云构。工控安全，非需别立工控风险总执，乃授CISO权于工控之境，且聘工控安全专才以行。DevSecOps，非需新设高阶之位，乃将安插入开发之脉，归CISO之辖。

PQC之迁，大于诸变。其应之治，宜倍其制：设更广之司，立更重之会，增更巨之费，聚更专之才，拓更阔之权。然其制之构（一责之长，具权与力以成之），实为诸变所共适之模。创制新治，自辟其基，则延岁于程，而新制立信，则CISO（或CTO）之信已具。

CISO之实用步骤

凡此CISO读此文而欲肩负PQC迁移之责者，四事可决其成否.

量其真权，非据其职图。 著汝之预算权柄，汝之召集权柄（汝能独召风险委员会乎？），汝之升达于董事会之路，及汝之能强使跨部门参与。若此者有弱于PQC迁移所求者，当先治之，乃可发此节目。其治理概览述何者乃当职之长需。：理事之权，专款之设，跨部门之权柄，及密码工程之才俊.

审度己是否掌密码之产.若PKI（公钥基础设施）、HSM（硬件安全模块）及证书生命周期管理皆归己司，则立基甚固。若其报于CIO（首席信息官）或CTO（首席技术官），则需显明之合伙契约为 steering committee charter（指导委员会章程）所载。基设与应层权柄分立之要：尔可直掌基设层，然需舵委之助以应应层。

当专才之众未需，先筑之。迁用PQC，需密码工之专，而众安队多无此能。吾已撰详析技栈之文。需以密码之变应之，备量子之备。速启招募或签约。若CISO宣示PQC之计，然六月之久，方聘密码之师，则半载之机已失矣。

与董事会立合理之期。用之KRI框架以立可量之里程碑。视PQC为多载之蜕变，非一年之疾驰。呈示成本估算之实情：于发现可自信估算，然全项目之成本，必待发现毕方显。诸董重实言于未定，不重乐观之预测，每季必需修订其上。

未完之句，难译其意。PQC迁移框架具陈其全法。量子待备涵盖周全之备策。治理之模可行。所询者，汝有否权柄资财以行之耳。

量子之奇效&量子之险，已御之矣

吾公司 -量子应用——助官府、企业、投资者预备量子之利弊。吾辈简述要务，明量子之算、测、通；为邦国、公司谋略，以取先机；化策为行。助君消量子之患，行加密之存、加密之捷、PQC之迁、广御量子之策。审供商、试价值、合标准与政策、训人力、助采办，终督其行于众务。致吾若欲助之。

与吾语之 联络应用量子