CISO上任首個0天的行動指南CISO上個10天動指南擔任首席信息安官（或同等職務的前0天，決定你是否可作為安全與風險理領導者取得成。為此，Grtnr將通過本研究供相關的指導和支持，幫助新任CIO在這個關鍵的過渡階段取得大的成功。概述主要現(xiàn)成功的首席信息安（ISO）是領者、理者和溝通者，而技術人員。ISO的成功取決于否能夠?qū)崿F(xiàn)以下兩個要成就：（）建立個人信譽和領導力品牌以及）為防御安全目奠定基礎。如果新任ISO不能理解領導層的期望或不能有效傳達安全項目如何支持業(yè)務成果時，們就會陷入困境。建議任期內(nèi)的首個0天，ISO應該：將你的領導要務與成果及目標聯(lián)系起加強網(wǎng)絡安全項目務項目的關系。在深入研究技術細進行技術決策之前制定一個安全戰(zhàn)略。確定你可以在IO期內(nèi)前0天完成兩五個優(yōu)先事項，這大限度地提高你的成功機會。在不可預測的安全發(fā)生之前，為其留多處理時間，避免戰(zhàn)略項目。分享戰(zhàn)略愿景，展示員工融入該愿景的方式并避免公開批評前任ISO，從而贏得安全團隊的支持。導語在擔任ISO的前0天，你將有機會確己的角色和職業(yè)關你可以在這段短暫蜜期”內(nèi)制定戰(zhàn)略、與其他高管建立關系、獲得領導層的支持、與新團隊建立信任以及展現(xiàn)你的領導風格。如果這時貴企業(yè)需要對網(wǎng)絡風險治理開展重大改革，或者需要大幅提高安全項目的成熟度，那么這個就顯得尤為寶貴。本研究將主要探討的ISO充分利用這0天的具體方法。另，我們將這0天分成六個階段，它們分別是：準備階段、評估階段、規(guī)劃階段、行動階段、衡量階段和溝通階段（圖）。圖：ISO上任后個0天的路線圖ISO上任后首個0天的路線圖溝通來源：在上任前，對你角色進行規(guī)劃證明安全部門來源：在上任前，對你角色進行規(guī)劃證明安全部門取的進展衡量（第-14周）采取行動，大幅高成熟度為首個100天制路線圖了解安全部門的前成熟度行動（第-12周）規(guī)劃（第-6周）評估（第-4周）準備（上任前）階段目標準備在上任前，對你的進行規(guī)劃。評估了解安全部門的當熟度。規(guī)劃為首個0天制定路線圖。行動采取行動，大幅提熟度。衡量證明安全部門取得展。首個100天計劃簡而言之，成功的前0天計劃安排應該：建立你作為ISO的譽，提升安全部門業(yè)中的內(nèi)部品牌和。確定安全部當前熟度（見安全與風理ITcre評價模型。重點關注各戰(zhàn)略項目下的細分項目，細分項目應通過合理的方法（如成熟度評估、風險評估等方法）選擇并優(yōu)先等級?？s短卓越安全運營務價值（如高管的事項）之間的差距。確定現(xiàn)實、可衡量時限的目標，并設量標準來跟蹤這些的進展下面，本研究將為這些目標提供易于的指導。準備階段（上任前）在上任前，為你的新角色做好準備，制定好初步規(guī)劃，從而為成功的開始奠定基礎，并為你的ISO任期建立需的業(yè)關系準備階段需要實現(xiàn)的目標成果在準備階段，你要現(xiàn)下列成果為目標：大致了解你角色和的員工、高層利益者和領導團隊的期。制定基本的會面計劃去認識領導層利益者和安全工作人員。這個階段的重點是和學習，而不是做。在你擔任ISO的幾周，你應該避免大范圍的聲或決定。準備階段需要采取的行動在上任之前，你要以下行動：評估貴企業(yè)需要的IO類型：在文化、行業(yè)、政治挑戰(zhàn)和其他因素的影響下，不同的企業(yè)對ISO有不同的要求。有些企業(yè)需要運營型ISO，有些企業(yè)則需要業(yè)務型ISO。為此，Grtr建議安全與風管理領導者查閱“SO有效性指數(shù)”，并企業(yè)的需求來定ISO類型。了解貴企業(yè)的組織結(jié)構(gòu)：獲取組織結(jié)構(gòu)圖和運營文件（如流程圖），了解安全部門、IT部門和整個企業(yè)的結(jié)構(gòu)，了解安全部門在企目前的管理和運營。確定關鍵利益相關者：創(chuàng)建一個你將與之合作的領導層利益相關者名單。這份名單可包括（但不限于）首席執(zhí)行官（EO）、首席財務官（FO）、首席信息官（IO）、法律總顧問、人力資源（）主管、席隱私官（PO）席風險官（O）。建立新的聯(lián)系：最好是在你上任前，與領導層的利益相關者和安全人員接觸，如發(fā)送面試后的感謝信和關注他們的kIn賬號（帶有個性備注）。安排首次會議：與行政助理（或企業(yè)內(nèi)部友好聯(lián)系的人）合作，安排你的首輪會議：計劃在第一天召開安全團隊全體成員會議，并在第一周與整個企業(yè)的關鍵利益相關者開展一系列會見和會談。最初幾周是在企業(yè)內(nèi)進行自我和建立良好形象的會。準備階段需要開展的溝通上任前，你的重點應該是了解企業(yè)的情況，準備與利益相關者和團隊的溝通信息。可以說，最初幾周的成功取決效的溝通，而不是。上任前，以及上任最初幾周，你應該以下內(nèi)容：了解其他高管的優(yōu)先事項：杰出的ISO明，他們是企業(yè)高管不僅僅是運營經(jīng)理術家。因此，要充分你作為ISO的力你需要了解企業(yè)業(yè)及高管和董事會最的優(yōu)先事項。所以在上，請參考以下信息：從企業(yè)官網(wǎng)“關于”頁面上了解公司命宣言。閱讀最近的公開財務報告（例如，美國上市公司的季報或年報），了解領導層的優(yōu)先事項和關注點。閱讀并觀看領導層的報道和訪談（并關注領導層的社交賬戶）。確定高管內(nèi)部的競點，并做好準備帶全部門應對這些復領導層關系。自我介紹：準備簡短版的簡歷，涵蓋你的個人背景、工作經(jīng)驗以及你對加入該企業(yè)的一些想法。然后在介紹和會面時使用這一簡歷，讓所有人都能了解你是誰，來自哪里。但要注意，你在這個過程中，應避免宣布大膽且具有破壞性的決定。相反，你的首要目標應該是贏得同事和團隊成員的歡迎。講故事：講事是改人們觀點、獲得認一個有效方法。例新任ISO可以講一故事說明安全部門如何幫助企業(yè)快速、安全地發(fā)展，而不會為了最大限度地降低風險而拖慢工作進展。另外，你還可以從過去的經(jīng)驗或新聞事件中舉例，幫助利益相關者了解安全部門及其領導ISO，是一種源而是障礙。創(chuàng)建討論指南：在第一輪見面會之前，準備好相關的問題和談話要點。例如，你可以考慮使用以下內(nèi)容：與利益相關者的討論：對于這類會議，你的重點應該放在利益相關者對安全部門和ISO角色的看法上。在的0天里收集這些信息將有助于你計劃未來幾個月里實現(xiàn)變化，包括改變領的觀點和（重新）義ISO的角色?？商岬膯栴}包括：你最緊迫的業(yè)務是？你目前對安全部門法是什么？你在與安全部門合的最大痛點是什么？你與安全部門的合展順利嗎？與團隊成員的討論：你可以準備一些問題，從而了解（1）安全治理和運營工作的現(xiàn)狀，以及）團隊成員對隊和工作環(huán)境的看可以提問的問題包：你的大部分工作時在做什么？怎樣才能使你的工容易完成？對你最有挑戰(zhàn)性的是什么？我怎樣才能更好地你和你的團隊？你認為安全部門的優(yōu)先事項應該是什？你認為企業(yè)的首要是什么？準備階段需要使用的資源你可以從閱讀以下Grr資源開始。Gtnr研究與工具《ISO有效性線——根據(jù)杰出IO所提供的經(jīng)過驗證佳實踐來定制你的方法。《培養(yǎng)當代ISO技》——確定和培養(yǎng)，發(fā)展成為一位全有能力的IS。《ISO有效性影響ISO有效性的為思維方式報告》—定與ISO效性最切相關的行為和思維方。評估階段（第-4周）評估安全項目當前的成熟度和表現(xiàn)。高質(zhì)量的安全評估會展現(xiàn)出安全項目的差距，為戰(zhàn)略規(guī)劃提供信息。因此，的ISO應該依客評估，而不是直覺出合理、可重復且驗證的安全決策。評估階段需要實現(xiàn)的目標成果評估階段，你要以下列成果為目標：找一位幫助你深解企業(yè)文化高管導師。了解你可用資源，括資金、人員和技。開展正式的成熟度、團隊對話和利益者互動，找一系列安全差距。確三到五個戰(zhàn)略優(yōu)先事項，解決安差距題并與業(yè)務成果保致。評估階段需要采取的行動在任職的第一個月要采取以下行動：尋找一位高管導師：在這個階段，你最珍貴的一份資產(chǎn)就是一位高級別的導師。這位導師需要深入了解企業(yè)高級管理人員的內(nèi)部運作，但可以不必了解安全領域的相關知識。因為如果他/她對安全領域所知不多，那么他/她就能切實客觀地評估你的提案和領導能否被接受，也就能更好地服務于你。確定安全部門的角色和責任：你擔任ISO首要任務就是說明定安全部門的角色任。為此，你需要與你的經(jīng)理進行討論，全面了解安全部門以及你的角色。你可以考慮闡明在以下領域的角色和責任：物理安全業(yè)務連性和災難（B/）隱私合規(guī)IT風險風險治理安全運營對于安全職權(quán)范圍以外的領域，你需要與其他高管和領導者（例如，企業(yè)風險管理主管、首席隱私官、法律總顧建立工作關系。清點你的信息來源：迅速清點你管理的安全部門所需的信息來源。例如，找到任何現(xiàn)有的政策、組織結(jié)構(gòu)圖、戰(zhàn)略計劃、當前項目、技術路線圖和指標。然后，你可以使用這些信息來說明你對安全部門的現(xiàn)狀期計劃的理解。開展成熟度評估：為安全部門的工作人員創(chuàng)造一個安全的環(huán)境，讓他們坦誠地評估本部門的成熟度。這些評估會展現(xiàn)出差距，為前瞻性的戰(zhàn)略制定提供信息，且不會“秋后算賬”。作為新任ISO，你少應開展以下核心評估果可能的話，還可慮增加其他評估。首個0天應該開展的核心評估：職能部門成熟度評估：評估安全部門的能力和流程成熟度。為此，你可以使用Grtr全與風險管理TScre評價模型?？刂拼胧┏墒於仍u估：評估安全控制措施的成熟度。為此，你可以使用Grtr控制措成熟度基準服務。風險評估：評估與整個企業(yè)的應用程序和基礎設施相關的信息風險。風險評估應優(yōu)先考慮風險最高的領域，在任何現(xiàn)有風險登記冊中收集到的信息都有可能幫助你評估貴企業(yè)的風險狀況。其他評估：審計結(jié)果漏洞評估威脅評估人才評估監(jiān)管結(jié)果滲透測試網(wǎng)絡釣魚測試確定你的首要戰(zhàn)略要務：評估后將揭示安全項目中存在的差距。因此，你可以利用這些差距來確定能夠在最初的0天里解決的三到五個戰(zhàn)略要務。這些要務應解決基本的挑戰(zhàn)，并給安團隊和高級領導層積極印象。這些要務可以包括：使安全項目成功所基本要求與業(yè)務成果建立明聯(lián)系為長期的成熟度改作奠定基礎建立你作為高效IO和公司管理者的可度評估階段需要開展的溝通評估安全部門的現(xiàn)狀非常具有挑戰(zhàn)性。例如，一些安全部門工作人員可能會把差距降到最低，因為他們處于戒備狀態(tài)，或者喜歡以最好的方式呈現(xiàn)事情。還有一些安全部門工作人員可能會夸大差距，以便為他們所謂的重要任務獲得投資和支持。但你要記住，這些都是人們的正常傾向行為，可以通過一個開放、安全和的溝通環(huán)境來防止生。因此，你要重點關下溝通機會：團隊領導會議：與安全團隊領導者舉行一對一會議。了解他們對安全項目現(xiàn)狀的意見，明確每個領導者在未來幾周、幾個月年的安全執(zhí)行戰(zhàn)略到關鍵性的作用。利益相關者訪談：采訪利益相關者，了解他們對安全部門的看法。這些利益相關者可以括法律總顧問、首私官、首席信息官席審計官和人力資管。確定意見領袖：在你與整個企業(yè)的領導人會面時，請注意那些能夠推動安全要務、給你人授權(quán)，并幫助你層和董事會溝通的意見領袖。評估階段需要使用的資源你可以從閱讀以下Grr資源開始。Gtnr研究與工具安全與風險管理ITcre評價模型——評估全部門的流程和能熟度控制措施成熟度基務——與你的同行技術控制措施成熟比較。規(guī)劃階（第-6周）規(guī)劃階段可匯總你的評估信息，并制定成行動藍圖。你的初步規(guī)劃為你的前0天制定了路圖，指導你在第一工作中取得安全方成功。規(guī)劃階段需要實現(xiàn)的目標成果規(guī)劃階，你以實列成果目標：制書面戰(zhàn)略計劃，第一個0天確定兩三個重要的安全項并為第一年任期制一個大概的路線圖。制定運營預算，確保有足夠的資源來實現(xiàn)這些重要任務。如果資源缺乏，你應該相應調(diào)整戰(zhàn)略計劃，促使其。規(guī)劃階段需要采取的行動在規(guī)劃段，要采下行動：選擇幾個首要任務：查你的首任務并選未來三月內(nèi)要重注的兩三個項。為此，你以使以下來篩選首要務：該項目能否在三個實現(xiàn)？你是否有相應的行持、資源和預算？該項目是否與降低風險有關？失敗的風險是否相低？當你選定后，你就可以幫助業(yè)務領導者了解這些安全要務對業(yè)務成果的支持作用。越早讓他們了解安全要務對業(yè)務成果的支持作用，那么在戰(zhàn)略要務實現(xiàn)時，你和安全部門就能獲得越高的信譽度。設計或完善安全部門：你需要根據(jù)你的任務、首要任務和企業(yè)文化來構(gòu)建安全部門。但遺憾的是，在安全部門的設計問題上并沒有萬能的方法。在設計安全部門時，你需要明確角色和職責，為管理人員授權(quán)并劃分相應的責任，并與其他部門（例如，IT、隱私、法律部門）建立明確的關系。制定運營預算：你對安全預算的控制程度取決于你加入企業(yè)的時間（財年初、財年中或財年末）和當前的預算編制程序。雖然在最初的0天里，預算編制的某些方面可能并不靈活，但你應該確保運營預算能持你的戰(zhàn)略要務。可以考慮重新分配以支持首要任務。規(guī)劃階段需要開展的溝通制定書面安全戰(zhàn)略計劃：首個0天戰(zhàn)略計應包括三個部分：項目愿景（“我們實現(xiàn)的目標”）。成熟度評估結(jié)果（們目前的位置”）。差距分析和戰(zhàn)略要“我們將如何達到”）。建立安全項目愿景：信息安全項目需要一個清晰、簡明的愿景聲明，闡述安全部門的高級別任務和目標，并且應你的團隊、管理層關利益相關者分享。規(guī)劃階段需要使用的資源你可以從閱讀以下Grr資源開始。Gtnr研究與工具《信息安全戰(zhàn)略規(guī)動指南》——根據(jù)的詳細指導創(chuàng)建一略計劃。《安全策略規(guī)劃最踐》——制定一個作、能夠建立信譽得支持的戰(zhàn)略計劃。《安全投資組合優(yōu)先次序：為安全投資決策增加嚴謹性》——設計一個可重復的合理方法，以確定內(nèi)部安全項目先次序。《工具包：一頁紙安全戰(zhàn)略——解構(gòu)—創(chuàng)建能夠引起高鳴的單頁戰(zhàn)略文件。行動階（第-2周）行動階段應提高企業(yè)的安全能力。因此在最初的0天里，你的行動應該集中在可量化的顯成就上，從而建立你個人的信譽并提高安全部門在企業(yè)中的地位。最初的成功可以確保獲得更多支持，為更多成定基礎，從而為你的團隊創(chuàng)造一個改成功的良性循環(huán)。行動階段需要實現(xiàn)的目標成果行動階段，你要以下列成果為目標：與安全管理人員、人員和團隊舉行一會議。為每個安全要務指個項目負責人。制定安全預算，確足夠的資源來實現(xiàn)戰(zhàn)略要務。制定一份有形、可的項目結(jié)果清單，你的戰(zhàn)略目標進展。行動階段需要采取的行動在行動階段，你要以下行動：完善角色和責任：首先，你要確保所有安全管理人員都有明確的角色和責任。明確每個安全管理人員的職責，以及評估其表現(xiàn)的方法。其次，你要確保所有級別的安全人員都有明確的工作描述和職責，清楚表明每個員工的實際工作。請注意，工作描述和績效管理指標往往與工作實際完成情況不同，點應該在你的領導到糾正。記住，安全管理人以幫助他們自己和的團隊明確角色和。而作為ISO你該監(jiān)督這項工作，但不得你必須自己完成的管理任務。指派項目負責人：你的每一個戰(zhàn)略重點都應該有一個正式的項目負責人。為此，你要為每個項目都設立明確的計劃、期望和結(jié)果，并與各位項目負責人說明相關內(nèi)容。盡可能降低項目失敗風險的一個方法是多個項目目標，避黑即白的結(jié)果（成失?。?。確保獲得領導層的支持：利用你的戰(zhàn)略計劃和安全愿景，讓領導層參與進來，為你的首要任務爭取支持。領導層的支持將給你和你的團隊提供權(quán)限，從而確保你獲得相應的資金，影響利益相關者和激勵安全。建立安全治理流程和論壇：開始在整個企業(yè)內(nèi)建立有效的信息風險治理。這需要確定風險決策權(quán)、風險問責制和利益相關者的信息責任。作為新任I，你最大的一個挑能是培養(yǎng)正確的風險意識和決策方法。調(diào)整必要的預算：如有必要，你可以調(diào)整預算，支持你的戰(zhàn)略要務。你現(xiàn)在的首要任務是確保在未來三到六個月內(nèi)有足夠的資金和資源。當然，現(xiàn)在也是開始規(guī)劃下一財年預算的好時機。作為新任ISO你能會獲得相當大的和余地來重新分配，甚至獲得更多資但是請記住，你的初始預算可能會成為未來幾年的比較基準，所以要確保你的預算結(jié)構(gòu)能夠支持長期路線圖。行動階段需要開展的溝通宣傳你的戰(zhàn)略計劃和愿景：向企業(yè)領導層和利益相關者介紹你的戰(zhàn)略計劃和愿景。在宣傳你的計劃時，你需要根據(jù)聽眾來定制信息，比如將你的計劃與利益相關者的首要任務聯(lián)系起來，展現(xiàn)信息安全與企業(yè)者的首要任務和目間的聯(lián)系。安排團隊和經(jīng)理檢查會議：人員管理是ISO職責的一個重要方因此，作為管理團第步，你需要在整個團隊中設立定期會特別是要考慮設置會議：每周與每個安全經(jīng)理進行一對一的檢查會議。利用這些會議來計劃和跟蹤項目。經(jīng)理會議也是一個指導機會別是在將業(yè)務意識門背景知識灌輸?shù)降陌踩\營方面。每月或每季度與安全工作人員進行“跨級別”一對一會談。你可以滾動安排這些會議，這樣你就可以每周與多個工作人員會面。這些會議是一個你與員工直接溝通，收集意見并衡量士氣的機會。每月安排一次全體員工會議。你應以ISO的身份宣布重大事項，表彰表現(xiàn)出色的員工，并向全體成員介紹重要的最新信息。你還可將其作為一個培養(yǎng)機會，選擇經(jīng)理和員工在會議上發(fā)言。鼓勵設置團隊日常會議。安全經(jīng)理應每天與各自的團隊召開會。這些簡短的會議（例如在0分鐘內(nèi)）可以確定當天的安排，進行問促進合作。每日例于虛擬團隊來說尤重要，因為這類會以取代面對面團隊的非正式對話。行動階段需要使用的資源你可以從閱讀以下Grr資源開始。Gtnr研究與工具信息安全演示支持中心——使用“下載并使用”模板來加強你向企業(yè)領導層和利益相關者傳達的信息。使用相關工