安全汇报工作的意义

周六，天气不错，因为还没有过年，所以不愿意承认有点初春的感觉，或者是不太记得初春是怎样的感觉了。

年纪大了，还在学习，可能还是会被人觉得有点那个，原本也没有关于年龄和学习的标准模式吧，那就还是努力活成心里想要的那个样子吧。

对于我：每天做的这点事是有趣的，有意义的。

---

作为安全人士，相对基础工作的人士，可能每年或者在一些特殊节点，需要进行网络安全工作汇报，那么汇报的意义何在呢，这里讨论一下安全工作汇报对第二年工作的意义或者是否会影响领导决策。（内容多是来自网上，经过了个人的加工处理）。对于非售前或技术，但是也要能和乙方的安全人员或负责人能进行所谓的洗脑工作，安全意识贯宣，所以你的脑海里要有一些能够说法对方的概念。下面的内容，你也可以思考一下，帮助乙方的一线人员争取资源。

1、汇报工作，也许看领导。我觉得还是要做一下，总结就是沉淀，中肯的自我评价一下工作，虽然对领导来说，作用不大。通常还是事件驱动，发生了重大事件，可能就会有对应的投入了，但是，那样是不是工作没做好呢。

2、安全工作很难有建设性成果，保障类的基本出不了亮点啊。那么就想办法拔高。领导都喜欢作战大屏，可以考虑大屏上能显示一点工作的方向或者不足，也许有机会。

3、汇报高度如果涉及到企业战略，那么可能会有用，但是这个，呵呵，真的很难，领导也不是那么容易被忽悠的。。。汇报中的安全问题发现能力提升多少、整改了多少高危漏洞、合规做的怎样、监控怎么到位，这些可以和部门领导交流。但是老板层面只会关注投入成本和收益，他只会认为这些是你份内事。

4、汇报数据材料是领导汇报的数据来源，可能领导会向上面的领导争取资源。所有，有时候实事求是很重要，一味的说好，那么上升的空间就有限了。

5、汇报要结合现状和行业要求，如果做APP认证或者隐私政策权限做合规会躲避下架或罚钱风险，这时上层会考虑改变决策的。所以对于行业的一些反面案例，可能还是要适时适当的收集一些。

6、汇报的时候，可以通过外部情况来曲线救国。比如今年多少家公司出了什么问题，特别是同行的问题情况，以及我们要怎么做可以避免这些问题。最好是可以构建一个成熟度模型，和老板达成共识，这样每年的工作可以简化为我们在成熟度模型上又推进了多少，行业内其他公司的情况如何等等。

7、安全的重要性的延伸，和业务跟钱挂钩，需要安全，这个要有足够的讲故事画饼的能力。。。也需要对相关业务有足够的理解，类似SDL，需要贯穿在整个业务的开发周期中，有个完整的闭环。

8、合规驱动是很有力的方式。在合规上要想办法让老板知道我们在合规上做了哪些工作，如何才是更好的。不能仅仅以是否合规通过或者不通过来判断，或者处罚和没被处罚来判断合规工作的好坏。当然不能被处罚是底线，在没被处罚的前提下也要想个模型来展示工作的成果。

9、对于不懂安全的领导，通常会关注友商用了什么安全设备，花了多少钱做安全。领导可能不想花太多钱，既不想在这个方面做领头羊，但也不想毫无作为，被人诟病吧。

如果甲方的安全人员不擅长向领导争取资源，或者希望乙方来写汇报或者方案，那么作为乙方，了解这些，可能会帮助甲方安全负责人员打动决策领导，或者直接打动决策领导。

最后来个词语扫盲，其实是我自己不了解：KOL : 关键意见领袖，Key Opinion Leader的简称，在营销学上，为各厂家宣传的专家或权威被称为“关键意见领袖“，通常被定义为：拥有更多、更准确的产品信息，且为相关群体所接受或信任，并对该群体的购买行为有较大影响力的人。关键意见领袖通常是某行业或领域内的权威人士，在信息传播中，他们不依赖其自身活跃度，也容易被承认和识别出来。

Game Over