首席信息安全官的前100天

在首席信息安全官上任的头100天，表现如何对于CISO是否能够取得成功至关重要。

在和众多企业的CISO沟通后，发现一些共同点：

• 成功的CISO主要是领导者、管理者和沟通者，而不是技术专家。

• 大部分失败的CISO的原因总结为不了解或不满足业务需求和期望，或者他们没有有效地传达他们是如何满足期望的。

• CISO的成功将取决于两个互补的成就：（1）建立一个信誉和领导力的基本个人品牌；和（2）为健全的安全程序奠定基础。

• 新上任的首席执行官在上任的头100天里有一个强有力的计划，他们很可能会在这个角色上获得成功。

给你几点建议：

• 在你担任CISO的头几个月里，通过制定详细的活动计划和良好的沟通，可以大大地提高你的成功机会。

• 小心地设定你的优先事项，找出你必须处理的五个最紧迫的问题，然后从中选出你在头三个月要关注的两个。

• 尽可能远离技术细节，关注安全与业务的关系。

• 避免在团队或利益相关者面前批评前任的行动和策略。

前100天的规划线路图：

主要任务：

• 在上任之前就做好准备，了解企业文化，工作环境，和各利益相关人员达成基础共识。

• 关注需要优先解决的问题，并推动近期改进的行动。

• 对外沟通传达信息安全的价值及内部安全运营的交付。

• 与关键的人员（客户，IT，高阶管理者，安全团队，供应商，合作伙伴）建立牢固的关系。

• 评估建立当前状态基线，成为持续改进的基础。

• 建立和传达信息安全愿景，强调未来机会，鼓励从过去的错误中吸取教训。

• 依据SMART原则制定目标，并建立跟踪系统。

• 提升个人信誉，提升团队的组织形象。

各阶段应达成目标

准备阶段：（第-10至15天）

• 在你自己、你的管理层、高级利益相关者和新员工之间，对你的职责，理念，方法达成共识和理解。求大同，存小异。

• 如果和管理层在职责和理念方面都存在很大的分歧，后续的工作会非常难以展开。及时考虑止损的方法。

• 和自己的团队做好工作理念，方式方法的沟通。

评估阶段：（第0至30天）

• 深入了解信息安全的当前状态

• 什么起作用什么不起作用的早期迹象

• 列出前三到六个月你将优先考虑的五大挑战

计划阶段：（第15天至45天）

• 安全计划愿景草案（与高层沟通必须准备）

• 未来两到三个月的计划运营安全预算

• 在你任职的前6到12个月的临时计划策略，其中确定了你在未来3个月将关注的两个关键问题

行动阶段：（第30至80天）

• 企业信息安全纲领草案

• 发布临时计划策略，包括在未来两到四个月内您将关注的两个关键问题

• 解决你已经确定的两个高度优先的问题或取得实质性进展

• 开始建立你的信誉所需的其他工作，并为新的安全计划奠定基础（这包括你的第一个安全计划预算）

• 与执行团队建立更紧密的工作关系

测量评估阶段：（第45至100天）

• 执行管理层和指导委员会的初始状态报告

• 早期进展和成就的证据

• 有效安全报告框架的基础

• 第一季度状况报告

每阶段如何需要哪些行动，做什么沟通，使用什么资源，可以关注我，一起沟通交流。