目前，各級電力企業雖然專門成立了相應的信息安全小組，形成了電力企業信息安全的決策層、管理層、執行層等機構，確保了人員的配置和安全責任制的落實，但還沒有明確設立CSO職位。信息安全小組通常由企業的一把手負責，同時，指定了安全專職人員負責整個企業的信息安全，實際上行使著CSO的職責，這些安全專職人員可以稱為“準CSO”。
　　通常這些“準CSO”是純技術的人才，熟悉某一方面的安全技術如防病毒、防火墻、入侵檢測技術等。然而，一個真正的CSO知識要全面，不僅要懂信息安全技術，而且還要懂安全管理。

　　1.熟悉風險管理
　　風險管理是指識別電力企業的資產，評估威脅這些資產的風險，評價假定這些風險成為事實時企業所承受的災難和損失，并采取一些解決方案預防風險的發生及損失補救措施。風險管理是電力企業安全管理的核心。
　　要執行風險管理，首先必須熟悉本單位的核心業務（如業務的流程、邊界等）和關鍵信息資產。哪些業務是關鍵的，需要采取高強度的防護措施進行防護；哪些業務是次要的，防護措施的強度可以低一些。同時，要了解業務系統安全與運行質量性能的關系，以避免為了提高信息安全而大幅度降低網絡系統運行的質量和性能。因為信息安全是為信息化服務的，信息化最終是為企業業務穩定持續發展服務的。
　　其次，CSO要制定一個風險管理策略，該策略是企業整體安全策略的組成部分。風險管理策略需明確風險處置的幾種方式，如降低風險（采取各種安全防護措施，如加防火墻、入侵檢測系統等）、轉嫁風險（如買保險等）、接受風險（基于企業的投入/產出比考慮，尋求企業投資與風險承受能力的平衡點）等。因為安全是相對的，對風險的處置應該有個度，如果風險處置的費用超過了系統本身的價值，則再消除風險就毫無意義了，因此，應制定一個合理的風險管理策略。
　　第三，CSO要熟悉業務持續性運行與災難恢復的知識，如保證業務持續性運行的系統和數據的備份。并且配備必要的應急設施和資源，如系統的啟動盤、系統和網絡管理員的電話號碼、協助廠商的求助電話等。一旦企業網絡系統發生問題，就可以統一調度，對安全事件快速響應，最大限度地降低企業的損失。

　　2.熟悉信息安全理念和技術
　　CSO應對安全理念如信息安全模型、國際和國內安全標準有較深入的認識。安全標準包括安全策略的標準、安全評估的標準、安全產品選型的標準、安全工程實施的標準、安全管理的標準等，了解這些安全標準可以更好地指導信息安全的建設。CSO還應熟悉常用的安全技術和安全產品，如防火墻、防病毒技術、加密技術、物理隔離技術等，了解他們的原理和部署等知識，這可以提高CSO自身的素質，樹立自己在企業中的威信。

　　3.良好的溝通和管理能力
　　CSO要具備良好的上下溝通能力，因為企業的安全管理制度和安全策略要貫徹執行，必須得到企業高層領導的許可和支持，同時得到企業員工的理解。但在實際情況中，很多領導和員工都要問，我們企業在信息安全方面投入很大，那到底取得了什么效果呢？這時CSO要讓他們理解,網絡和業務系統的正常持續運行，就是安全工程實施的效果。
　　信息安全是“三分技術、七分管理”，這強調了管理的重要性，特別是要加強對人的管理。因為無論安全制度的落實，還是安全技術和安全產品的布置，最終是由人來執行的。但在實際中，往往人是最難管理的，這就要求CSO要具有很強的管理能力。
　　CSO還應熟悉安全法律和法規，包括國家、行業以及企業的法規，如關于涉密系統的聯網規定、系統日志應保存的時間規定、系統和數據的備份規定、經貿委的30號令等，并把他們應用到企業的業務工作中去。
　　目前，電力企業的“準CSO”們要想成為一個合格的CSO，需在以下方面進行努力：
　　首先，要強化業務知識的學習。這些知識不僅包括風險管理、安全技術、安全標準等信息安全知識，而且還包括企業自身的業務流程、邊界等。
　　其次，要提高管理能力，特別是日常管理能力。
　　第三，要加強與其他企業CSO的交流，其他企業如銀行、電信，甚至國外的CSO進行交流，學習他們的成功經驗，吸取他們失敗的教訓，爭取少走彎路。相信經過這些努力，電力企業一定會涌現出一批優秀的CSO。
.