CSO实践① | 新任CSO关键的前100天

第一周，CSO要花大部分时间盘点建立安全部门需要的资源，包括人员、报告、业务指标和财务预算等。在这一阶段，CSO要尽可能多地整理信息，并做好详细的笔记，但这时不要试图去解决问题。

如果CSO是从外部聘请的，这段时间是给人留下良好第一印象的机会。如果CSO是从企业内部提拔的，可以利用这段时间与那些平时很少接触的同事建立联系。这段时间，CSO会被介绍给许多人，要尽量记住每个人的一些细节，例如最喜欢的运动，或者家庭成员的情况，这有助于日后的闲谈和加强了解。

在第一周前几天，CSO需要召集第一次部门全体人员会议。这个会议有两个主要目的：一是让CSO介绍自己，表明自己平易近人；二是让参加会议的人员介绍自己。CSO要让新下属相信，自己是为他们服务，为他们提供帮助的。这段时间，即使有人要求你提供意见，也不要答应，可以解释说，目前仍在收集信息，还没有准备好做出决定或改变。

现在，CSO需要与各团队管理者进行一对一的沟通，向他们了解、确定各自的职责范围，并了解哪些任务是最紧迫需要完成的，以及如何完成这些任务。CSO应该利用这些沟通机会向下属表示，自己无法独自完成任何事情，他们的意见和支持非常重要。

CSO工作中最重要的一个伙伴就是各业务部门的领导。CSO需要让他们知道，在制定和执行安全计划时，将把他们的业务需求放在首位。当然，有些业务职能比其他业务职能需要更多的保护。但是，CSO要让每一个业务部门领导觉得，他们是第一优先级。在制定和执行安全计划的过程中，安全保护的优先级是就现实的业务需求确定的。为了成功地平衡业务部门的需求，CSO需要了解各业务部门领导的主要工作目标和对信息安全的关注点，最重要的是要征求他们对安全工作的意见。在这个过程中，CSO可以确定哪些高影响力人物将成为支持自己的亲密伙伴，从而在未来发布工作计划时，能获得更多的支持。

CSO需要通过一个简单的方法向团队成员、管理人员、业务部门及所有用户传达需要通过安全计划实现的目标。安全计划的主要目标是建立一个持续有效的、符合业务需求的安全组织流程和技术解决方案。

第三周，CSO可以开始评估公司安全业务哪些部分运行良好，哪些部分需要进行改进。这可以通过四种方式来衡量：通过技术成就（是否发生了破坏性的安全事件）；通过与财务或满意度相关的绩效指标；通过评估当前安全流程的成熟度；或通过对照行业标准或基准来确定。安全评估可以由一个了解安全计划，并能将目前情况与计划目标进行比较的外部专家组织完成。

从这周开始，CSO需要编写或审查安全章程，安全章程通常只写一次，并保留使用多年。因此，安全章程应该用通俗易懂的语言编写，并提出一个可行的安全策略。安全章程的受众包括公司员工、合作伙伴、客户及其他利益相关者。该章程必须至少要得到 CEO 级别领导的批准。CSO想要制定适合受众的安全章程，可以参考下图所列的这些最佳实践。

现在，新任CSO工作将近一个月了，需要与高管层进行面对面的沟通。在沟通中CSO可以介绍安全评估情况和安全计划目标，并说明现阶段的工作安排以及所需高管层哪些支持等内容。要注意的是，CSO在与高管层沟通时，要使用他们能理解的商业术语而不是技术术语，避免出现分歧。

CSO应该对每月的安全预算有一个相当准确的了解。一个月后，新任CSO应该能够对来自CFO、CEO和其他高管的任何有关安全资金去向的问题提供相当具体的答案。在讨论这些财务问题时，CSO可以开诚布公地阐明安全预算的合理性，但注意不要严厉批评前任的财务规划和运营方法，这其中可能存在自己不了解的决策因素，这样新任CSO更容易得到老板的认可。

新任CSO到岗时，可能就有几个正在进行的安全项目。在对安全组织的工作方式有了一定的了解后，CSO需要参与到这些占据团队时间的项目中。在这个过程中，CSO应该关注两个方面：让团队成员专注于安全项目的商业价值，并在必要时提示团队成员保持高效的执行力。

对于新任CSO来说最重要的工作之一是完善团队，把关键团队管理者安排就位，并确定各自的职能范围。由于资源限制，可能无法实现每一个职能由一个具体的人负责。事实上，许多非常成功的安全组织是由某一个人负责几个具体的职能，并通过简单高效的RACI管理模型，来定义某一项活动参与人员的角色和责任。这种管理模式为未来建立完整的团队职能奠定了很好的基础。

新任CSO要明白高绩效团队是靠人为打造出来的，而不是天生的。团队组织中可能有一些没有发挥作用的成员，但大多数情况下，他们只是需要帮助和指导，找到能够发挥自己特长的领域。作为CSO请记住，衡量合格领导者的标准，不是自己解决了哪些技术问题，而是通过制定技能改进计划，提高员工水平，让自己获得更多可用的人力资源。

第一个月制定的安全章程需要得到高管层的批准，现在CSO可以将其发送给适当的高管人员审阅，并安排与其面对面沟通。新任CSO可以通过这种沟通，了解公司高管层对安全职能的要求。至关重要的是，在第三个月开始之前，CSO需要确认高管层对安全工作的期望要求。

现在，各安全运营团队的工作职责已经非常清楚，需要开始考虑各自的绩效指标。各个团队需要有非常明确且切实可行的绩效目标。CSO需要做的就是提供必要的支持帮助他们取得成功。而且作为管理者，CSO要向团队成员表明各个团队要相互支持，而不是相互竞争。制定目标后，CSO要定期跟踪团队的工作进展，并让每个人都了解他们的同事在做什么。通过工作进展跟踪，将使团队朝着既定的目标前进，更可能取得成功。

作为CSO，面临最困难的任务可能是让企业人员理解、遵守甚至倡导安全计划。因为企业人员会有一些根深蒂固的观念，例如，安全会降低业务效率；安全只是IT专家的问题；或者安全就像是一个游戏，安全人员制定策略预防某些事件的发生，而员工会寻找各种方法来绕过策略控制。作为CSO，可能没有接受过宣传方面的培训。为了更快地获得这个技能，新任CSO可以请教掌握这些技能的人员，在制定安全意识计划方面他们会提供非常有价值的帮助。

作为CSO，最有价值的会议是了解和沟通执行团队的工作状态和工作难点。在会议上，倾听执行团队的问题并帮助他们解决这些问题。为了保持每次会议的内容聚焦，可以创建统一的议程，内容如下：

● 说明在这期间要做什么？

● 说明在这期间做了什么？

● 在这期间所做事情的业务价值是什么？

● 执行团队希望CSO提供哪些支持和帮助？

执行团队成员需要将CSO的安全计划整合到他们的工作中，而且必须给出一定阶段的工作进展和结果衡量标准，这将提供下一次会议的明确目标。

新任CSO需要定期了解安全计划和项目进度。项目的定期进度报告应该简单明了，CSO只需要关注与业务部门领导和财务管理人员讨论的项目信息。CSO可以向项目经理了解具体的项目成果，而不是他们是如何做的，偶尔提出更详细的问题，以确保自己能阐明项目团队工作的业务价值。

信息安全工作的主要目标之一是建立完善的安全流程。现在是新任CSO评估现有安全流程成熟度，并进行优化改进的合理时间。完善的安全流程需要的不仅仅是安全报告和预算编制，它最主要的是建立有效的决策权与适当的问责制，将责任和权力结构相关联。关于安全流程更具体的内容可参见《2021安全规划：安全流程成熟度的“定级、评审、整改”》（见“阅读原文”）。

新任CSO工作到第三个月需要再次查看安全运营预算，并突出显示与前两个月相比发生的变化趋势，找到最高成本的项目，并在适当的时候制定降低成本的计划。在第三个月结束时，新任CSO可以将编制、审查和报告预算的工作交给一位团队管理人员。从那时起，CSO在该领域的职能应仅限于出现额外预算时进行管理和评估。

在初步战略得到巩固后，CSO就可以开始考虑中期和长期的项目和目标了，包括正式制定安全计划；启动提升安全流程成熟度项目；建立一个正式的安全架构功能等等。