信息安全工作报告(如何让老板看懂信息安全月报)
下面是好好范文网小编收集整理的信息安全工作报告(如何让老板看懂信息安全月报),仅供参考,欢迎大家阅读!
随着国家颁布《网络安全法》、《数据安全法》等一系列国家层面的法律来作为信息安全的顶层设计。信息安全无疑成为企业老板十分关注的企业能力和风险。
如果你是一位CSO(首席安全官)或者CISO(首席信息安全官),那么向老板汇报每月的信息安全状况就变得十分重要了。
汇报的方式有很多,向老板提交信息安全月报不失为一种选择。因为老板可能没有那么多时间来专门与你沟通信息安全问题,只有利用老板的碎片化时间来沟通。
一、 向老板提交信息安全月报应避开的“坑”。
1、 技术细节太多。
大多数老板对技术都不了解,而安全负责人在报告中却过分关注技术。当讨论内容技术性太强时,可能就让老板失去兴趣。将相关技术内容以备用材料的形式放在附录中通常是较好的方式。这样一来,如果老板需要,也可以随时给他介绍更多的技术细节。
图1:类似的技术内容最好以附录形式呈现
2、 文字内容过多。
实验证明,人们对文字性材料有一种天生的反感,反而对图片材料有更多偏好。老板时间有限,不可能用那么多时间一个字一个字地看你的报告,用图片来展示你要表达的意图更能让老板接受。一张简单、意思明确的图片比长篇累牍的文字更能让老板感兴趣。
图2: 利用更多图片汇报概览内容
3、 缺乏业务场景。
绝对不要抛开当前公司的业务场景来谈安全,这样看起来更像是对学生的培训而不是向老板报告。公司的主营业务是电商,你却向老板讲述基建项目面临的安全风险,相信我,老板绝对会把你的报告扔进垃圾桶的。
4、 夸大风险影响。
通常,安全负责人会在报告中阐述一些关于担忧、不确定和怀疑的内容,但都太过于关注威胁和理论风险。相反,安全负责人需要专注于广泛、真实和合理的预期风险。老板不喜欢夸大威胁,更加希望了解类似某些企业发生重大安全事件而被媒体报道背后的真实情况。
图3:针对外部事件需要做出的一些响应
5、 出现误导性数据。
针对一些非常专业的数据,在向老板汇报的时候一定要慎之又慎。例如,安全人员向老板展示原始漏洞扫描结果,结果显示100台服务器具有超过52,000个未修补的漏洞。这些内容技术性太强,而且容易引起误解,因为这个数字永远不会为零,但老板可能会要求在一定的时间范围内将数据归零,例如六个月。所以,汇报人员需要报告更有用的数据。
二、 向老板提交信息安全月报的正确“姿势”
1、 报告开头。
在报告开头,附上公司的logo是一个不错的做法,这样更能吸引老板的注意,因为公司的logo是老板最熟悉和自豪的东西。
在正文的开始一定要有本期内容的一个导航,让老板知道你要陈述的主要内容,便于领会你的意图。
3、 本期动态(每个小动态后面附上建议)。
这是你报告的主要部分,是你真正要展示给老板看的内容。所以要格外用心,避免用太多的文字,并且在每个问题的后面附上你的建议,把决策权交给老板。
4、 附件(技术性比较强的说明等)。
图4:把技术性强的材料放在最后
把报告中涉及到的技术性材料做成附件,放在最后,便于老板对整个报告的理解。如果老板对此有不懂的地方或者比较感兴趣这部分内容,可以进一步向老板阐述。
三、 征求老板对信息安全月报的意见。
如果在你向老板提交了信息安全月报后,老板正好在第一时间跟你做了沟通和指示,这当然最好。但是,如果老板因为没有时间或者忘记了,你要主动向老板询问对报告的意见和指示。这样便于你及时了解老板的意图以及对信息安全月报的内容和格式进行调整。
最后,推荐一本书。老板最想听的是你解决问题的方法,而不是问题本身。