安全主管要匯報(bào)給董事會(huì)一些他們關(guān)心的、對(duì)他們有意義的事。除了個(gè)人的喜好和擔(dān)憂之外，董事會(huì)通常還關(guān)心三件事：

• 收益/目標(biāo)：營(yíng)業(yè)或非營(yíng)業(yè)收入和提高非收益任務(wù)目標(biāo)
• 費(fèi)用：避免未來(lái)成本開銷和降低運(yùn)營(yíng)費(fèi)用
• 風(fēng)險(xiǎn)：財(cái)務(wù)、市場(chǎng)、安全合規(guī)、創(chuàng)新、品牌及名譽(yù)

1. 權(quán)衡性問題：我們100%安全么?你能保證么?

[[334309]]

(1) 問題分析

像這樣的問題通常是由董事會(huì)成員提出的，他們并不真正了解安全及其對(duì)業(yè)務(wù)的影響。并不存在100%的安全。CISO的工作是識(shí)別風(fēng)險(xiǎn)最高的領(lǐng)域，并根據(jù)業(yè)務(wù)需求分配有限的資源來(lái)管理它們。

(2) 如何回懟

可以這樣開頭：“考慮到威脅環(huán)境的不斷變化，不太可能消除所有信息風(fēng)險(xiǎn)的來(lái)源。我的角色是實(shí)施控制來(lái)管控風(fēng)險(xiǎn)。隨著業(yè)務(wù)的增長(zhǎng)，我們必須不斷重新評(píng)估什么樣的風(fēng)險(xiǎn)狀態(tài)是適當(dāng)?shù)?。我們的目?biāo)是建立一個(gè)可持續(xù)的項(xiàng)目，在保護(hù)與經(jīng)營(yíng)業(yè)務(wù)之間取得平衡。”

2. 情景類問題：其他公司什么情況?X公司都出來(lái)什么事?我們公司現(xiàn)在相比之下情況如何?

[[334310]]

(1) 問題分析

董事會(huì)成員將面臨安全報(bào)告、文章、博客和監(jiān)管機(jī)構(gòu)要求他們了解風(fēng)險(xiǎn)的壓力。他們總會(huì)問別人在做什么，尤其是同行公司。他們想知道“大環(huán)境”是什么樣的，以及他們?nèi)绾闻c被人比較。

(2) 如何回懟

要避免猜測(cè)其他公司安全問題的根本原因，可以這樣說(shuō):“在獲得更多信息之前，我不想對(duì)X公司的事件進(jìn)行猜測(cè)，但當(dāng)我知道更多信息時(shí)，我會(huì)繼續(xù)跟進(jìn)了解情況。”考慮討論一系列更廣泛的安全事件應(yīng)對(duì)措施，比如確定一個(gè)類似的風(fēng)險(xiǎn)點(diǎn)，制定如何修復(fù)或更新業(yè)務(wù)連續(xù)性計(jì)劃。

3. 風(fēng)險(xiǎn)類問題：你知道公司都有哪些風(fēng)險(xiǎn)么?有沒有什么問題讓你睡不好覺?

(1) 問題分析

董事會(huì)知道接受風(fēng)險(xiǎn)是一種選擇(如果他們不接受，那就是你將要面臨的挑戰(zhàn))。他們想知道公司的風(fēng)險(xiǎn)是否得到了控制。CISO應(yīng)準(zhǔn)備好解釋公司的風(fēng)險(xiǎn)承受能力，以確保風(fēng)險(xiǎn)管理決策的制定。

(2) 如何回懟

如果說(shuō)一切良好，沒什么讓自己睡不安穩(wěn)的事情。那只能對(duì)你說(shuō)：“英雄一路走好。”

解釋風(fēng)險(xiǎn)管理決策對(duì)業(yè)務(wù)的影響，并確保你的立場(chǎng)有理有據(jù)。后半部分至關(guān)重要，因?yàn)槎聲?huì)是根據(jù)風(fēng)險(xiǎn)承受能力做出決策的。任何超出容忍水平的風(fēng)險(xiǎn)都需要采取補(bǔ)救措施，要使其在容忍范圍內(nèi)。這并不一定要求在短時(shí)間內(nèi)發(fā)生巨大的改變，要當(dāng)心不必要的過(guò)度反應(yīng)。審計(jì)委員會(huì)將尋求保證，確保重大風(fēng)險(xiǎn)得到充分管理，在某些情況下采取微妙的長(zhǎng)期持續(xù)性改進(jìn)辦法可能比較適當(dāng)。

4. 平臺(tái)類問題：公司的資源配置是否得當(dāng)?我們(安全上)的花銷是否足夠了?為什么花了這么多錢?

(1) 問題分析

董事會(huì)希望得到保證，確保安全和風(fēng)險(xiǎn)管理部門的負(fù)責(zé)人不會(huì)止步不前。董事會(huì)成員希望了解量化分析和ROI(投資回報(bào)率)。

(2) 如何回懟

眾所周知，信息安全里搞定量分析和ROI那就是自尋死路，所以不要主動(dòng)去搞什么安全工作的量化收益匯報(bào)。

使用一種平衡計(jì)分卡(BSC)的方法，其中頂層表達(dá)業(yè)務(wù)期望，并使用一個(gè)簡(jiǎn)單的允許/拒絕機(jī)制說(shuō)明組織針對(duì)這些期望的績(jī)效。盡可能多地用業(yè)務(wù)業(yè)績(jī)而不是技術(shù)來(lái)解釋期望?？?jī)效的基礎(chǔ)是使用一系列客觀標(biāo)準(zhǔn)對(duì)安全進(jìn)行評(píng)估的度量。

5. 安全事件問題

這(安全事故)是怎么搞的?我覺得你能管控住的!到底怎么回事?

[[334311]]

(1) 問題分析

當(dāng)一個(gè)事件或事故已經(jīng)發(fā)生，并且董事會(huì)已經(jīng)知道或者CISO正在通知他們時(shí)，就會(huì)被問到這類問題。

(2) 如何回懟

如果你是事件當(dāng)事人或負(fù)責(zé)人，那么第一時(shí)間不是甩鍋，而是做事，最快抑制，最大程度止損。當(dāng)然，某些特殊環(huán)境的公司可能不太樣。

安全事件是不可避免的，所以要實(shí)事求是。分享你所知道的和你正在做的事情，找出你目前不知道的。簡(jiǎn)而言之，承認(rèn)已發(fā)生的安全事件，提供對(duì)業(yè)務(wù)影響的細(xì)節(jié)匯報(bào)，概述需要解決的風(fēng)險(xiǎn)點(diǎn)，并提供緩解計(jì)劃。在董事會(huì)面前，不要把一個(gè)選擇作為最終選擇。安全與風(fēng)險(xiǎn)的監(jiān)督責(zé)任仍由安全主管承擔(dān)，但最終責(zé)任必須由董事會(huì)/執(zhí)行層承擔(dān)。