安全主管要匯報給董事會一些他們關心的、對他們有意義的事。除了個人的喜好和擔憂之外，董事會通常還關心三件事：

• 收益/目標：營業(yè)或非營業(yè)收入和提高非收益任務目標
• 費用：避免未來成本開銷和降低運營費用
• 風險：財務、市場、安全合規(guī)、創(chuàng)新、品牌及名譽

1. 權(quán)衡性問題：我們100%安全么?你能保證么?

[[334309]]

(1) 問題分析

像這樣的問題通常是由董事會成員提出的，他們并不真正了解安全及其對業(yè)務的影響。并不存在100%的安全。CISO的工作是識別風險最高的領域，并根據(jù)業(yè)務需求分配有限的資源來管理它們。

(2) 如何回懟

可以這樣開頭：“考慮到威脅環(huán)境的不斷變化，不太可能消除所有信息風險的來源。我的角色是實施控制來管控風險。隨著業(yè)務的增長，我們必須不斷重新評估什么樣的風險狀態(tài)是適當?shù)摹Ｎ覀兊哪繕耸墙⒁粋€可持續(xù)的項目，在保護與經(jīng)營業(yè)務之間取得平衡。”

2. 情景類問題：其他公司什么情況?X公司都出來什么事?我們公司現(xiàn)在相比之下情況如何?

[[334310]]

(1) 問題分析

董事會成員將面臨安全報告、文章、博客和監(jiān)管機構(gòu)要求他們了解風險的壓力。他們總會問別人在做什么，尤其是同行公司。他們想知道“大環(huán)境”是什么樣的，以及他們?nèi)绾闻c被人比較。

(2) 如何回懟

要避免猜測其他公司安全問題的根本原因，可以這樣說:“在獲得更多信息之前，我不想對X公司的事件進行猜測，但當我知道更多信息時，我會繼續(xù)跟進了解情況。”考慮討論一系列更廣泛的安全事件應對措施，比如確定一個類似的風險點，制定如何修復或更新業(yè)務連續(xù)性計劃。

3. 風險類問題：你知道公司都有哪些風險么?有沒有什么問題讓你睡不好覺?

(1) 問題分析

董事會知道接受風險是一種選擇(如果他們不接受，那就是你將要面臨的挑戰(zhàn))。他們想知道公司的風險是否得到了控制。CISO應準備好解釋公司的風險承受能力，以確保風險管理決策的制定。

(2) 如何回懟

如果說一切良好，沒什么讓自己睡不安穩(wěn)的事情。那只能對你說：“英雄一路走好。”

解釋風險管理決策對業(yè)務的影響，并確保你的立場有理有據(jù)。后半部分至關重要，因為董事會是根據(jù)風險承受能力做出決策的。任何超出容忍水平的風險都需要采取補救措施，要使其在容忍范圍內(nèi)。這并不一定要求在短時間內(nèi)發(fā)生巨大的改變，要當心不必要的過度反應。審計委員會將尋求保證，確保重大風險得到充分管理，在某些情況下采取微妙的長期持續(xù)性改進辦法可能比較適當。

4. 平臺類問題：公司的資源配置是否得當?我們(安全上)的花銷是否足夠了?為什么花了這么多錢?

(1) 問題分析

董事會希望得到保證，確保安全和風險管理部門的負責人不會止步不前。董事會成員希望了解量化分析和ROI(投資回報率)。

(2) 如何回懟

眾所周知，信息安全里搞定量分析和ROI那就是自尋死路，所以不要主動去搞什么安全工作的量化收益匯報。

使用一種平衡計分卡(BSC)的方法，其中頂層表達業(yè)務期望，并使用一個簡單的允許/拒絕機制說明組織針對這些期望的績效。盡可能多地用業(yè)務業(yè)績而不是技術(shù)來解釋期望。績效的基礎是使用一系列客觀標準對安全進行評估的度量。

5. 安全事件問題

這(安全事故)是怎么搞的?我覺得你能管控住的!到底怎么回事?

[[334311]]

(1) 問題分析

當一個事件或事故已經(jīng)發(fā)生，并且董事會已經(jīng)知道或者CISO正在通知他們時，就會被問到這類問題。

(2) 如何回懟

如果你是事件當事人或負責人，那么第一時間不是甩鍋，而是做事，最快抑制，最大程度止損。當然，某些特殊環(huán)境的公司可能不太樣。

安全事件是不可避免的，所以要實事求是。分享你所知道的和你正在做的事情，找出你目前不知道的。簡而言之，承認已發(fā)生的安全事件，提供對業(yè)務影響的細節(jié)匯報，概述需要解決的風險點，并提供緩解計劃。在董事會面前，不要把一個選擇作為最終選擇。安全與風險的監(jiān)督責任仍由安全主管承擔，但最終責任必須由董事會/執(zhí)行層承擔。