企業(yè)安全負(fù)責(zé)人職責(zé)第一章

1.企業(yè)安全負(fù)責(zé)人的角色定位

企業(yè)安全負(fù)責(zé)人是企業(yè)內(nèi)部負(fù)責(zé)安全工作的核心人物，其角色定位不僅僅是執(zhí)行安全政策，更是安全策略的制定者、執(zhí)行者、監(jiān)督者和改進(jìn)者。他們需要具備全面的安全知識(shí)，能夠識(shí)別企業(yè)面臨的各種安全風(fēng)險(xiǎn)，并制定相應(yīng)的防范措施。同時(shí)，他們還需要具備良好的溝通能力和領(lǐng)導(dǎo)能力，能夠協(xié)調(diào)各部門(mén)之間的安全工作，確保企業(yè)整體安全目標(biāo)的實(shí)現(xiàn)。

2.企業(yè)安全負(fù)責(zé)人的主要職責(zé)

企業(yè)安全負(fù)責(zé)人的主要職責(zé)包括但不限于以下幾個(gè)方面：首先，負(fù)責(zé)制定和實(shí)施企業(yè)的安全政策，確保企業(yè)的安全工作符合國(guó)家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)；其次，負(fù)責(zé)對(duì)企業(yè)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，識(shí)別潛在的安全隱患，并制定相應(yīng)的防范措施；再次，負(fù)責(zé)監(jiān)督企業(yè)的安全工作，確保各項(xiàng)安全措施得到有效執(zhí)行；最后，負(fù)責(zé)對(duì)企業(yè)員工進(jìn)行安全培訓(xùn)，提高員工的安全意識(shí)和安全技能。

3.企業(yè)安全負(fù)責(zé)人的工作內(nèi)容

企業(yè)安全負(fù)責(zé)人的工作內(nèi)容非常廣泛，主要包括以下幾個(gè)方面：一是安全政策的制定和實(shí)施，包括制定企業(yè)的安全管理制度、安全操作規(guī)程等；二是安全風(fēng)險(xiǎn)評(píng)估，包括對(duì)企業(yè)進(jìn)行安全檢查、安全測(cè)試等；三是安全監(jiān)督，包括對(duì)企業(yè)的安全設(shè)施、安全設(shè)備進(jìn)行定期檢查和維護(hù)；四是安全培訓(xùn)，包括對(duì)企業(yè)員工進(jìn)行安全知識(shí)培訓(xùn)、安全技能培訓(xùn)等；五是應(yīng)急處理，包括制定應(yīng)急預(yù)案、組織應(yīng)急演練等。

4.企業(yè)安全負(fù)責(zé)人的能力要求

企業(yè)安全負(fù)責(zé)人需要具備多種能力，包括但不限于以下幾個(gè)方面：一是專(zhuān)業(yè)知識(shí)能力，需要具備全面的安全知識(shí)，了解各種安全技術(shù)的原理和應(yīng)用；二是溝通協(xié)調(diào)能力，需要能夠與企業(yè)各部門(mén)進(jìn)行有效溝通，協(xié)調(diào)各部門(mén)之間的安全工作；三是領(lǐng)導(dǎo)能力，需要能夠帶領(lǐng)團(tuán)隊(duì)完成企業(yè)的安全工作；四是創(chuàng)新能力，需要能夠不斷創(chuàng)新安全技術(shù)和方法，提高企業(yè)的安全水平；五是應(yīng)急處理能力，需要能夠在突發(fā)事件發(fā)生時(shí)迅速做出反應(yīng)，采取有效的應(yīng)急措施。

5.企業(yè)安全負(fù)責(zé)人的重要性

企業(yè)安全負(fù)責(zé)人在企業(yè)安全工作中起著至關(guān)重要的作用。他們是企業(yè)安全工作的核心，負(fù)責(zé)制定和實(shí)施企業(yè)的安全政策，監(jiān)督企業(yè)的安全工作，提高員工的安全意識(shí)和安全技能。如果企業(yè)沒(méi)有安全負(fù)責(zé)人，或者安全負(fù)責(zé)人的工作不到位，企業(yè)的安全工作就會(huì)存在很大的風(fēng)險(xiǎn)，可能導(dǎo)致企業(yè)的財(cái)產(chǎn)損失、人員傷亡等嚴(yán)重后果。因此，企業(yè)安全負(fù)責(zé)人的重要性不言而喻。

第二章

1.企業(yè)安全負(fù)責(zé)人如何制定安全政策

制定安全政策是企業(yè)安全負(fù)責(zé)人的首要任務(wù)之一。安全政策是企業(yè)安全工作的指導(dǎo)方針，需要根據(jù)企業(yè)的實(shí)際情況來(lái)制定。首先，安全負(fù)責(zé)人需要對(duì)企業(yè)進(jìn)行全面的了解，包括企業(yè)的業(yè)務(wù)范圍、組織結(jié)構(gòu)、人員配置等。其次，需要收集相關(guān)的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，確保安全政策符合國(guó)家規(guī)定。最后，需要與企業(yè)的各部門(mén)進(jìn)行溝通，了解他們的需求和意見(jiàn)，確保安全政策得到各部門(mén)的認(rèn)可和支持。安全政策制定完成后，還需要定期進(jìn)行評(píng)估和修訂，以確保其有效性和適用性。

2.企業(yè)安全風(fēng)險(xiǎn)評(píng)估的方法

企業(yè)安全風(fēng)險(xiǎn)評(píng)估是安全負(fù)責(zé)人的重要工作之一。風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別企業(yè)面臨的各種安全風(fēng)險(xiǎn)，并評(píng)估這些風(fēng)險(xiǎn)對(duì)企業(yè)的影響程度。常用的風(fēng)險(xiǎn)評(píng)估方法包括定性評(píng)估和定量評(píng)估。定性評(píng)估主要依靠專(zhuān)家的經(jīng)驗(yàn)和判斷，對(duì)風(fēng)險(xiǎn)進(jìn)行分類(lèi)和排序。定量評(píng)估則通過(guò)數(shù)學(xué)模型和數(shù)據(jù)分析，對(duì)風(fēng)險(xiǎn)進(jìn)行量化和評(píng)估。安全負(fù)責(zé)人需要根據(jù)企業(yè)的實(shí)際情況選擇合適的風(fēng)險(xiǎn)評(píng)估方法，并組織專(zhuān)業(yè)人員進(jìn)行分析和評(píng)估。評(píng)估結(jié)果需要形成報(bào)告，并提出相應(yīng)的防范措施。

3.企業(yè)安全監(jiān)督的具體措施

企業(yè)安全監(jiān)督是確保安全政策得到有效執(zhí)行的重要手段。安全負(fù)責(zé)人需要制定具體的監(jiān)督措施，包括定期安全檢查、安全測(cè)試、安全審計(jì)等。定期安全檢查主要針對(duì)企業(yè)的安全設(shè)施、安全設(shè)備、安全制度等進(jìn)行檢查，確保其正常運(yùn)行和有效執(zhí)行。安全測(cè)試則通過(guò)模擬攻擊、漏洞掃描等方式，發(fā)現(xiàn)企業(yè)安全系統(tǒng)中的漏洞和弱點(diǎn)，并及時(shí)進(jìn)行修復(fù)。安全審計(jì)則通過(guò)對(duì)企業(yè)的安全工作進(jìn)行全面的審查和評(píng)估，發(fā)現(xiàn)安全工作中的問(wèn)題和不足，并提出改進(jìn)建議。安全負(fù)責(zé)人需要建立完善的監(jiān)督機(jī)制，確保安全監(jiān)督工作得到有效執(zhí)行。

4.企業(yè)安全培訓(xùn)的內(nèi)容和形式

企業(yè)安全培訓(xùn)是提高員工安全意識(shí)和安全技能的重要途徑。安全負(fù)責(zé)人需要根據(jù)企業(yè)的實(shí)際情況，制定安全培訓(xùn)計(jì)劃和內(nèi)容。安全培訓(xùn)的內(nèi)容包括安全知識(shí)、安全技能、安全意識(shí)等。安全知識(shí)培訓(xùn)主要介紹企業(yè)的安全政策、安全制度、安全操作規(guī)程等。安全技能培訓(xùn)則通過(guò)實(shí)際操作和演練，提高員工的安全操作技能。安全意識(shí)培訓(xùn)則通過(guò)案例分析、安全宣傳等方式，提高員工的安全意識(shí)。安全培訓(xùn)的形式可以多種多樣，包括集中培訓(xùn)、在線(xiàn)培訓(xùn)、現(xiàn)場(chǎng)培訓(xùn)等。安全負(fù)責(zé)人需要根據(jù)員工的特點(diǎn)和需求，選擇合適的安全培訓(xùn)形式，并確保培訓(xùn)效果。

5.企業(yè)安全負(fù)責(zé)人的日常管理工作

企業(yè)安全負(fù)責(zé)人的日常管理工作非常繁雜，需要處理各種安全事務(wù)。日常管理工作包括安全政策的制定和實(shí)施、安全風(fēng)險(xiǎn)評(píng)估、安全監(jiān)督、安全培訓(xùn)、應(yīng)急處理等。安全負(fù)責(zé)人需要建立完善的安全管理制度，確保安全工作有序進(jìn)行。同時(shí)，需要與企業(yè)的各部門(mén)進(jìn)行溝通和協(xié)調(diào)，確保各部門(mén)之間的安全工作得到有效配合。安全負(fù)責(zé)人還需要定期參加安全會(huì)議，了解企業(yè)的安全狀況，并及時(shí)解決安全問(wèn)題。日常管理工作的目的是確保企業(yè)的安全工作得到有效執(zhí)行，提高企業(yè)的安全水平。

第三章

1.企業(yè)安全負(fù)責(zé)人所需的專(zhuān)業(yè)知識(shí)體系

企業(yè)安全負(fù)責(zé)人要干好活，得知道啥叫安全，得懂門(mén)道。這需要的知識(shí)可不少，不能只懂一點(diǎn)點(diǎn)。首先得懂信息安全，知道怎么保護(hù)公司的電腦數(shù)據(jù)不被人偷、不被病毒搞破壞。這包括網(wǎng)絡(luò)怎么設(shè)防、數(shù)據(jù)怎么加密、怎么找漏洞補(bǔ)上。其次，還得懂點(diǎn)物理安全，比如辦公室的門(mén)鎖好不好用、監(jiān)控設(shè)備靈不靈、重要東西放哪兒最安全。再就是懂點(diǎn)管理知識(shí)，知道怎么制定規(guī)矩、怎么檢查、怎么培訓(xùn)員工。還得了解國(guó)家有啥規(guī)定，比如數(shù)據(jù)保護(hù)法這些，不能違法。此外，懂點(diǎn)心理學(xué)也行，知道怎么跟人打交道，怎么讓大家都自覺(jué)遵守安全規(guī)矩?？傊?，得是個(gè)“雜家”，啥都得多懂點(diǎn)，才能把公司的安全事兒管好。

2.企業(yè)安全負(fù)責(zé)人的關(guān)鍵技能要求

光有知識(shí)還不行，還得有本事把知識(shí)用出來(lái)。企業(yè)安全負(fù)責(zé)人最關(guān)鍵的幾項(xiàng)技能是：第一，溝通協(xié)調(diào)能力得強(qiáng)，得能跟各種人打交道，跟技術(shù)部門(mén)的聊技術(shù)，跟管理層匯報(bào)情況，還得跟員工講道理，讓大家明白安全的重要性。第二，解決問(wèn)題能力得過(guò)硬，出了安全問(wèn)題，得知道從哪兒查起，找到根子，想出辦法解決它，還得能預(yù)防下次不再犯。第三，學(xué)習(xí)能力強(qiáng)，技術(shù)天天變，安全威脅也變著花樣來(lái)，得不斷學(xué)習(xí)新知識(shí)、新技能，才能跟上趟兒。第四，領(lǐng)導(dǎo)力，得能帶著團(tuán)隊(duì)一起干，把大家的目標(biāo)統(tǒng)一起來(lái)，一起把安全工作做好。這些技能都很重要，缺了哪個(gè)都可能把安全工作搞砸。

3.企業(yè)安全負(fù)責(zé)人如何有效溝通與協(xié)調(diào)

企業(yè)安全負(fù)責(zé)人天天得跟人打交道，怎么把話(huà)說(shuō)清楚、把事辦成，很重要。跟老板溝通，得說(shuō)老板能聽(tīng)懂的話(huà)，比如講安全事故可能帶來(lái)的損失，講投入安全能省多少錢(qián)。跟技術(shù)團(tuán)隊(duì)說(shuō)，得懂技術(shù)，能說(shuō)出問(wèn)題在哪，要怎么解決。跟普通員工說(shuō)，得用大白話(huà)，講清楚安全規(guī)定為啥要遵守，不遵守會(huì)有啥后果。協(xié)調(diào)起來(lái)也一樣，比如需要?jiǎng)e的部門(mén)配合搞安全檢查，得先跟他們說(shuō)明白為啥要檢查，檢查對(duì)他們的好處是啥，爭(zhēng)取他們的支持。開(kāi)會(huì)的時(shí)候，要能抓住重點(diǎn)，讓大家明白要做什么，怎么去做?？傊?，溝通要真誠(chéng)、清晰、有耐心，還得會(huì)聽(tīng)別人的意見(jiàn)，這樣才能把各方力量擰成一股繩，一起搞安全。

4.企業(yè)安全負(fù)責(zé)人在危機(jī)事件中的角色與應(yīng)對(duì)

萬(wàn)一出了安全問(wèn)題，比如電腦被黑了、數(shù)據(jù)丟了，這時(shí)候安全負(fù)責(zé)人就是頭兒。第一反應(yīng)不是慌，得馬上啟動(dòng)應(yīng)急預(yù)案，看看損失有多大，能不能把影響控制住。比如馬上斷開(kāi)受影響的網(wǎng)絡(luò)，聯(lián)系專(zhuān)家來(lái)處理。同時(shí)，要跟公司內(nèi)部溝通，讓大家知道情況，別亂來(lái)；也要跟外部，比如警察、客戶(hù)、媒體交代清楚。整個(gè)處理過(guò)程，安全負(fù)責(zé)人得坐鎮(zhèn)指揮，協(xié)調(diào)各方力量，確保事情得到妥善解決。事情過(guò)后，還得總結(jié)教訓(xùn)，看看是哪兒出了問(wèn)題，怎么改進(jìn)，防止以后再犯。這個(gè)角色很關(guān)鍵，處理不好，公司可能要倒大霉。

5.企業(yè)安全負(fù)責(zé)人的職業(yè)發(fā)展與能力提升路徑

安全工作不是一成不變的，安全負(fù)責(zé)人也不能一直停在原地。想在這個(gè)崗位上干得好、干得久，就得不斷學(xué)習(xí)、提升自己?？梢詤⒓痈鞣N培訓(xùn)課程，學(xué)習(xí)最新的安全技術(shù)、管理方法?？梢钥既∫恍?zhuān)業(yè)證書(shū)，比如網(wǎng)絡(luò)安全工程師認(rèn)證、信息安全管理體系認(rèn)證等，這能證明自己的能力。還可以多跟同行交流，參加行業(yè)會(huì)議，了解最新的安全動(dòng)態(tài)和趨勢(shì)。平時(shí)工作中，多觀(guān)察、多思考、多實(shí)踐，遇到問(wèn)題就研究怎么解決，積累經(jīng)驗(yàn)。如果能帶團(tuán)隊(duì)，那領(lǐng)導(dǎo)力也得同步提升。只有不斷進(jìn)步，才能適應(yīng)不斷變化的安全環(huán)境，也才能在職業(yè)上走得更遠(yuǎn)。

第四章

1.企業(yè)安全政策與法律法規(guī)的對(duì)接

企業(yè)安全負(fù)責(zé)人得把公司的規(guī)矩和國(guó)家的法律、國(guó)家的規(guī)定對(duì)上號(hào)。國(guó)家有專(zhuān)門(mén)的法律管信息安全，比如《網(wǎng)絡(luò)安全法》，規(guī)定了公司得怎么保護(hù)數(shù)據(jù)、得盡啥責(zé)任。還有像《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》，這些都得知道。安全負(fù)責(zé)人得先搞清楚這些法律有啥要求，然后才能制定公司的安全政策。公司的政策不能跟國(guó)家法律對(duì)著干，還得比法律的要求更高，不能最低限度地滿(mǎn)足。制定政策的時(shí)候，要把這些法律的要求都考慮進(jìn)去，確保公司運(yùn)營(yíng)合法合規(guī)。有時(shí)候法律會(huì)更新，政策也得跟著改，安全負(fù)責(zé)人得保持關(guān)注，及時(shí)調(diào)整。

2.企業(yè)安全政策在組織內(nèi)的推行策略

光有政策不行，還得讓大家都知道、都遵守。安全負(fù)責(zé)人得想辦法讓政策在組織里落地生根?？梢韵葟墓芾韺幼銎?，讓領(lǐng)導(dǎo)們支持，帶頭遵守，給大家做個(gè)樣子。然后可以通過(guò)開(kāi)會(huì)、發(fā)郵件、貼通知等方式，把政策內(nèi)容宣傳到每個(gè)人耳朵里?？梢愿泓c(diǎn)培訓(xùn)，講講政策為啥重要，大家平時(shí)怎么做才符合要求。還可以把政策印成小冊(cè)子，或者放在電腦里容易看到的地方。有時(shí)候得設(shè)置一些檢查或者考核，看看大家是不是真的在遵守。對(duì)于不遵守的，得有相應(yīng)的措施，比如提醒、批評(píng)，嚴(yán)重的可能影響績(jī)效?？傊?，得有耐心，多宣傳、多提醒、多檢查，慢慢大家就習(xí)慣了。

3.企業(yè)安全政策執(zhí)行中的常見(jiàn)障礙及對(duì)策

在執(zhí)行安全政策的時(shí)候，經(jīng)常遇到點(diǎn)阻力。比如，有的員工覺(jué)得麻煩，覺(jué)得按照安全規(guī)矩辦事太耽誤事兒了，就想走捷徑。還有的技術(shù)部門(mén)覺(jué)得安全措施影響效率，或者不愿意花錢(qián)搞安全。有時(shí)候管理層也不夠重視，覺(jué)得安全投入沒(méi)啥回報(bào)。碰到這些情況，安全負(fù)責(zé)人得想辦法解決。對(duì)于員工，得多解釋政策的重要性，講明白不遵守可能帶來(lái)的風(fēng)險(xiǎn)。對(duì)于技術(shù)部門(mén)，要跟他們溝通，找到既能保證安全又不影響效率的平衡點(diǎn)，一起商量怎么搞。對(duì)于管理層，要經(jīng)常匯報(bào)安全工作的情況，講清楚安全投入帶來(lái)的好處，比如能省下更大的損失。總之，得多溝通、多協(xié)調(diào)，用耐心和智慧去克服這些障礙。

4.企業(yè)安全政策的定期審視與更新機(jī)制

安全政策不能一成不變，得定期看看還合不合適。技術(shù)天天在變，新的威脅老出現(xiàn)，以前的規(guī)矩可能就不管用了。安全負(fù)責(zé)人得建立一個(gè)機(jī)制，定期檢查政策。比如，可以每年檢查一次，或者每次有重大的技術(shù)變化、法律更新的時(shí)候，就重新審視一下。檢查的時(shí)候，要看看政策有沒(méi)有過(guò)時(shí)，有沒(méi)有漏洞，執(zhí)行效果怎么樣。如果發(fā)現(xiàn)有問(wèn)題，或者新的情況需要，就要及時(shí)更新政策。更新后，要通知到相關(guān)人員，可能還得重新培訓(xùn)一下。這個(gè)審視和更新的過(guò)程，要形成制度，確保安全政策能一直跟上時(shí)代，有效保護(hù)公司。

5.企業(yè)安全政策與企業(yè)文化建設(shè)的融合

公司的安全政策不只是寫(xiě)在紙上的一堆規(guī)矩，最好能變成大家的一種習(xí)慣、一種文化。安全負(fù)責(zé)人可以想辦法把安全融入到公司的文化里。比如，在招聘的時(shí)候就強(qiáng)調(diào)安全意識(shí)，讓新來(lái)的員工就明白安全很重要?？梢栽诠緝?nèi)部多宣傳安全事跡，表?yè)P(yáng)那些做得好的部門(mén)和個(gè)人。還可以搞一些安全相關(guān)的活動(dòng)，比如安全知識(shí)競(jìng)賽、應(yīng)急演練，讓大家在玩中學(xué)，在體驗(yàn)中提高安全意識(shí)。如果公司領(lǐng)導(dǎo)層特別重視安全，以身作則，整個(gè)公司的安全氛圍就會(huì)很濃。當(dāng)安全變成一種文化的時(shí)候，大家就會(huì)自覺(jué)遵守政策，安全負(fù)責(zé)人也就好做了，因?yàn)榇蠹叶际亲栽缸袷亍?/p>

第五章

1.企業(yè)安全風(fēng)險(xiǎn)評(píng)估的基本流程

評(píng)估企業(yè)安全風(fēng)險(xiǎn)，得按部就班來(lái)。第一步是“識(shí)別”，得弄清楚公司里有哪些地方可能出安全問(wèn)題，比如電腦系統(tǒng)、服務(wù)器、存儲(chǔ)的數(shù)據(jù)、辦公室的鑰匙、甚至是員工的操作習(xí)慣。把所有可能出問(wèn)題的點(diǎn)都列個(gè)單子出來(lái)。第二步是“分析”，針對(duì)每個(gè)點(diǎn)，想想如果出了問(wèn)題，會(huì)有啥后果，比如會(huì)不會(huì)讓客戶(hù)數(shù)據(jù)泄露，會(huì)不會(huì)讓公司被罰款，會(huì)不會(huì)讓業(yè)務(wù)停頓。還要想想，這種問(wèn)題發(fā)生的可能有多大，是經(jīng)常會(huì)發(fā)生，還是偶爾會(huì)發(fā)生。最后一步是“評(píng)價(jià)”，就是把剛才分析出來(lái)的可能性和后果結(jié)合起來(lái)，看看哪個(gè)風(fēng)險(xiǎn)是最大的，需要優(yōu)先處理。這個(gè)流程不是一次就完的，得定期重新評(píng)估，因?yàn)榍闆r總是在變。

2.識(shí)別企業(yè)面臨的主要安全風(fēng)險(xiǎn)類(lèi)別

公司可能面臨的安全風(fēng)險(xiǎn)不少，可以分成幾大類(lèi)。一類(lèi)是“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”，比如黑客攻擊、病毒入侵、數(shù)據(jù)被竊取。現(xiàn)在網(wǎng)絡(luò)攻擊花樣很多，很常見(jiàn)。另一類(lèi)是“物理安全風(fēng)險(xiǎn)”，比如小偷偷走公司的服務(wù)器、辦公室著火了、或者有人闖進(jìn)來(lái)搞破壞。雖然不一定經(jīng)常發(fā)生，但一旦發(fā)生可能損失很大。還有一類(lèi)是“操作風(fēng)險(xiǎn)”，就是員工操作不當(dāng)造成的，比如不小心刪了重要的文件，或者用了弱密碼。這種風(fēng)險(xiǎn)天天可能發(fā)生，但通常損失相對(duì)小點(diǎn)。再比如“管理風(fēng)險(xiǎn)”，就是公司的制度不完善、沒(méi)人管、或者法律不遵守。這些風(fēng)險(xiǎn)需要仔細(xì)識(shí)別，才能知道從哪里下手防范。

3.評(píng)估安全風(fēng)險(xiǎn)可能性和影響的方法

評(píng)估風(fēng)險(xiǎn)有多大，也就是可能性和影響，不能光憑感覺(jué)。常用的方法有“定性評(píng)估”，就是給風(fēng)險(xiǎn)打分，比如用“高、中、低”或者數(shù)字1到5來(lái)表示，可能性高不高，影響大不大。這個(gè)打分可以靠專(zhuān)家經(jīng)驗(yàn)，也可以大家一起討論得出。還有“定量評(píng)估”，如果有可能性和影響能算出具體數(shù)字的話(huà)，比如算算數(shù)據(jù)泄露可能造成的經(jīng)濟(jì)損失是多少，或者系統(tǒng)癱瘓可能損失多少訂單。這個(gè)方法比較精確，但需要的數(shù)據(jù)比較多，不是所有情況都適用。安全負(fù)責(zé)人可以根據(jù)公司的具體情況，選擇用哪種方法，或者兩種方法結(jié)合起來(lái)用。

4.制定風(fēng)險(xiǎn)應(yīng)對(duì)策略的基本原則

評(píng)估完風(fēng)險(xiǎn)，就得想怎么應(yīng)對(duì)。制定應(yīng)對(duì)策略得遵循幾個(gè)原則。首先，得“明確優(yōu)先級(jí)”，不是所有風(fēng)險(xiǎn)都要一樣對(duì)待，要把有限的資源用在最危險(xiǎn)的地方。風(fēng)險(xiǎn)可能性最大、影響最嚴(yán)重的，要優(yōu)先處理。其次，要“成本效益”，不能為了安全花太多錢(qián)，得找到一個(gè)花錢(qián)最少、效果最好的平衡點(diǎn)。有時(shí)候花錢(qián)多一點(diǎn)能防范更大的風(fēng)險(xiǎn)，這就是值得的。第三，要“可操作性”，制定的策略不能是空話(huà)，得是實(shí)際能做得到的，不能說(shuō)一套做一套。最后，要“持續(xù)改進(jìn)”，策略制定完了不是就完了，要看看效果怎么樣，根據(jù)實(shí)際情況不斷調(diào)整。

5.企業(yè)安全風(fēng)險(xiǎn)管理與業(yè)務(wù)發(fā)展的平衡

安全很重要，但也不能為了安全把業(yè)務(wù)搞死了。安全負(fù)責(zé)人得想辦法在安全和發(fā)展之間找到平衡點(diǎn)。比如，搞一個(gè)新的業(yè)務(wù)系統(tǒng)，既要保證安全，又要讓業(yè)務(wù)部門(mén)盡快用上。這時(shí)候就得一起商量，哪里是安全底線(xiàn)，哪里可以稍微放松點(diǎn)，加快進(jìn)度。不能因?yàn)榕鲁霭踩珕?wèn)題，就啥都不讓干，那樣公司就沒(méi)法發(fā)展了。同時(shí)，業(yè)務(wù)部門(mén)也得理解安全的重要性，不能為了趕進(jìn)度就不管安全規(guī)定。安全負(fù)責(zé)人要跟業(yè)務(wù)部門(mén)多溝通，幫助他們理解安全措施是為了保護(hù)他們的工作，而不是故意找麻煩。找到一個(gè)大家都舒服的平衡點(diǎn)，安全和發(fā)展都能做好。

第六章

1.企業(yè)安全培訓(xùn)的目標(biāo)與重要性

對(duì)員工搞安全培訓(xùn)，不是為了考大家，主要是為了大家好，也為了公司好。目標(biāo)很簡(jiǎn)單，就是讓員工知道啥是安全風(fēng)險(xiǎn)，知道平時(shí)怎么做才能避免出問(wèn)題，知道萬(wàn)一出了事兒該咋辦。比如，怎么設(shè)置一個(gè)強(qiáng)密碼，怎么識(shí)別釣魚(yú)郵件，怎么保管好公司的東西。為啥重要？因?yàn)楹芏喟踩录际且驗(yàn)閱T工不小心或者不知道才發(fā)生的。如果員工都懂了，就能自己保護(hù)好公司的信息和設(shè)備，減少安全漏洞。這對(duì)公司來(lái)說(shuō)，就能省下很多麻煩和損失。所以，安全培訓(xùn)是個(gè)投入，但回報(bào)很大。

2.企業(yè)安全培訓(xùn)的主要內(nèi)容與形式

培訓(xùn)得講點(diǎn)啥呢？主要就是公司規(guī)定的那一套安全規(guī)矩，比如密碼不能亂用，公共電腦不能存公司敏感文件，接電話(huà)或者郵件時(shí)要注意防范詐騙。還得講點(diǎn)實(shí)際操作，比如怎么查殺病毒，怎么備份文件。如果公司用電腦多，還得講講網(wǎng)絡(luò)安全，比如公共Wi-Fi怎么用才安全。培訓(xùn)形式可以多種多樣，不能光靠開(kāi)會(huì)念稿子?？梢杂靡曨l，看起來(lái)有意思；可以搞個(gè)在線(xiàn)考試，方便大家學(xué)習(xí)；可以搞個(gè)模擬攻擊，讓大家體驗(yàn)一下；還可以請(qǐng)專(zhuān)家來(lái)講座，或者組織大家做做應(yīng)急演練。啥形式效果好，就看員工喜歡啥，也得看公司條件。

3.如何設(shè)計(jì)有效的企業(yè)安全培訓(xùn)課程

想讓培訓(xùn)有效，設(shè)計(jì)課程很重要。首先，得知道員工們最關(guān)心啥，最需要學(xué)啥?？梢韵葐?wèn)問(wèn)他們，或者看看平時(shí)出的問(wèn)題最多在哪兒。其次，內(nèi)容要實(shí)在，別搞那些虛的、聽(tīng)不懂的。用簡(jiǎn)單的例子，講明白每個(gè)規(guī)定為啥要遵守。比如，講密碼，可以說(shuō)“復(fù)雜點(diǎn)就安全點(diǎn)，不容易被猜到”，而不是說(shuō)“密碼強(qiáng)度要達(dá)到什么什么標(biāo)準(zhǔn)”。還要多搞點(diǎn)互動(dòng)，讓大家參與進(jìn)來(lái)，而不是光聽(tīng)。最后，要趁熱打鐵，培訓(xùn)完了可以搞個(gè)測(cè)試，看看學(xué)到了啥，過(guò)段時(shí)間再提醒提醒。課程設(shè)計(jì)得好，員工學(xué)得進(jìn)去，效果自然就好。

4.企業(yè)安全培訓(xùn)的組織實(shí)施與管理

設(shè)計(jì)好課程，還得組織好實(shí)施?？梢园才旁谏习鄷r(shí)間，比如每周下午搞個(gè)半小時(shí)；也可以搞集中的，比如放假前或者新員工入職時(shí)集中學(xué)。通知要到位，讓大家知道啥時(shí)候?qū)W，在哪學(xué)，學(xué)啥。如果搞在線(xiàn)培訓(xùn)，得保證網(wǎng)絡(luò)通暢，大家都能上。培訓(xùn)過(guò)程中，可以安排人負(fù)責(zé)，看看大家學(xué)得怎么樣，有問(wèn)題及時(shí)解答。培訓(xùn)完了，最好有個(gè)記錄，誰(shuí)參加了，學(xué)得咋樣，這以后查起來(lái)或者看效果都有用。還得定期看看培訓(xùn)效果，比如問(wèn)問(wèn)員工感受，或者做個(gè)小測(cè)試，如果效果不好，課程就得改改。管理到位，培訓(xùn)才能真正發(fā)揮作用。

5.企業(yè)安全培訓(xùn)效果評(píng)估與持續(xù)改進(jìn)

培訓(xùn)搞完了，不能就完了，得看看效果好不好，哪些地方做得不對(duì)，下次咋改進(jìn)。評(píng)估效果可以看幾個(gè)方面：一是員工的知識(shí)是不是增加了，可以通過(guò)考試或者問(wèn)卷了解；二是員工的行為有沒(méi)有變好，比如是不是真的開(kāi)始用強(qiáng)密碼了；三是安全事件是不是變少了。如果發(fā)現(xiàn)效果不好，可能就是課程講得太枯燥，或者沒(méi)人重視，或者通知不到位。下次改進(jìn)時(shí)，可以換種形式，或者加強(qiáng)宣傳，或者找更合適的講師?？傊?，安全培訓(xùn)是個(gè)持續(xù)的過(guò)程，得不斷根據(jù)效果調(diào)整，才能真正提高大家的安全意識(shí)和能力。

第七章

1.企業(yè)安全事件應(yīng)急響應(yīng)的基本原則

公司萬(wàn)一遇到安全事件，比如電腦被黑了、數(shù)據(jù)丟了，得趕緊有反應(yīng)。應(yīng)急響應(yīng)得遵循幾個(gè)基本原則。第一是“快”，要快！出了事兒不能拖，拖久了損失可能更大。得趕緊啟動(dòng)預(yù)案，馬上處理。第二是“實(shí)”，要落到實(shí)處，不能光喊口號(hào)。得知道發(fā)生了啥，能做啥，一步一步來(lái)。第三是“協(xié)”，得大家一起干，不能光靠安全部門(mén)。IT、業(yè)務(wù)、公關(guān)、法務(wù)都得參與進(jìn)來(lái)，分工合作。第四是“記”，整個(gè)過(guò)程得有記錄，以后出了事好復(fù)盤(pán)，知道哪兒做得對(duì)、哪兒做得不對(duì)。遵循這些原則，才能在混亂中穩(wěn)住陣腳，把損失降到最低。

2.企業(yè)安全事件應(yīng)急響應(yīng)預(yù)案的制定要素

在沒(méi)出事之前，就得提前想好萬(wàn)一出事了咋辦，這就是應(yīng)急預(yù)案。制定這個(gè)預(yù)案，得包含幾個(gè)關(guān)鍵要素。首先，得“明確觸發(fā)條件”，啥時(shí)候算是大事，啥時(shí)候可以自己處理，得有標(biāo)準(zhǔn)。比如，系統(tǒng)完全癱瘓了，或者客戶(hù)數(shù)據(jù)可能泄露了，就啟動(dòng)一級(jí)預(yù)案。然后，“組織架構(gòu)”要清清楚楚，誰(shuí)負(fù)責(zé)指揮，誰(shuí)負(fù)責(zé)技術(shù)處理，誰(shuí)負(fù)責(zé)對(duì)外溝通。還得“規(guī)定流程”，比如第一步該干啥，第二步該干啥，不能亂。再就是“資源準(zhǔn)備”，比如備用服務(wù)器在哪兒，外部專(zhuān)家怎么聯(lián)系，這些都要提前備好。最后，“溝通協(xié)調(diào)”方式也要定好，內(nèi)部怎么聯(lián)系，外部跟誰(shuí)說(shuō)。這些要素都齊全了，預(yù)案才有用。

3.企業(yè)安全事件應(yīng)急響應(yīng)的啟動(dòng)與指揮協(xié)調(diào)

安全事件一發(fā)生，就得看情況是不是夠“嚴(yán)重”，夠不夠啟動(dòng)預(yù)案的條件。如果夠，就得立刻“啟動(dòng)預(yù)案”，通知相關(guān)人員到位。啟動(dòng)后，“指揮協(xié)調(diào)”很重要，得有個(gè)總負(fù)責(zé)人統(tǒng)一指揮，告訴大家聽(tīng)誰(shuí)的，干啥。這個(gè)人得有經(jīng)驗(yàn)，還得冷靜。比如，安全負(fù)責(zé)人技術(shù)行，但對(duì)外溝通可能不行，這時(shí)候就可以讓更擅長(zhǎng)溝通的人協(xié)助指揮，或者讓公關(guān)部門(mén)也介入。指揮協(xié)調(diào)得好，大家才能步調(diào)一致，高效處理。如果內(nèi)部指揮混亂，或者沒(méi)人負(fù)責(zé)，那事情肯定搞砸了。所以，這個(gè)環(huán)節(jié)不能含糊。

4.企業(yè)安全事件應(yīng)急響應(yīng)的技術(shù)處置與業(yè)務(wù)恢復(fù)

應(yīng)急響應(yīng)的核心是“技術(shù)處置”和“業(yè)務(wù)恢復(fù)”。技術(shù)處置就是針對(duì)問(wèn)題本身動(dòng)手。比如，電腦被黑了，得趕緊把受影響的系統(tǒng)隔離，查查是哪個(gè)地方被攻破的，把漏洞補(bǔ)上，然后清查有沒(méi)有其他地方也中了招。業(yè)務(wù)恢復(fù)就是想辦法讓公司能繼續(xù)正常工作?？赡苄枰袚Q到備用系統(tǒng)，或者暫時(shí)關(guān)掉受影響的服務(wù)。這個(gè)過(guò)程得小心，不能因?yàn)樘幚韱?wèn)題，把事情搞得更糟了。技術(shù)處置和業(yè)務(wù)恢復(fù)要緊密配合，技術(shù)解決了問(wèn)題，業(yè)務(wù)才能恢復(fù)。如果只顧技術(shù)，不管業(yè)務(wù)，或者只顧恢復(fù)業(yè)務(wù)，不管安全，都可能留下隱患。

5.企業(yè)安全事件應(yīng)急響應(yīng)后的總結(jié)與改進(jìn)

事情處理完了，不能就當(dāng)完事了，得“總結(jié)經(jīng)驗(yàn)教訓(xùn)”。這次事件是怎么發(fā)生的？預(yù)案執(zhí)行得怎么樣？哪些地方做得好，哪些地方?jīng)]做好？要搞清楚?？偨Y(jié)出來(lái)后，得“改進(jìn)預(yù)案和流程”。比如，發(fā)現(xiàn)預(yù)案里沒(méi)考慮到的情況，或者發(fā)現(xiàn)某個(gè)流程走不通，就得改。還得“加強(qiáng)防范”?？纯催@次事件暴露了哪些漏洞，平時(shí)該怎么做才能避免?？梢园堰@些教訓(xùn)用到平時(shí)的安全工作和培訓(xùn)里，防止下次再犯同樣的錯(cuò)誤。這個(gè)總結(jié)改進(jìn)的過(guò)程很重要，能讓公司越來(lái)越強(qiáng)，應(yīng)對(duì)未來(lái)的風(fēng)險(xiǎn)能力越來(lái)越強(qiáng)。

第八章

1.企業(yè)安全負(fù)責(zé)人如何進(jìn)行安全監(jiān)督

安全負(fù)責(zé)人不能光靠別人匯報(bào)，得自己多去“看”，多去“查”，才能真正知道安全情況怎么樣。怎么監(jiān)督呢？首先，得“定期檢查”，比如每個(gè)月或者每個(gè)季度，去機(jī)房看看設(shè)備是不是正常運(yùn)行，去各個(gè)部門(mén)看看電腦設(shè)置是不是符合要求，看看安全制度是不是真的在執(zhí)行。其次，“抽查”，不能每次都查一樣的，得隨機(jī)抽查，看看有沒(méi)有平時(shí)容易忽略的地方。還可以“測(cè)試”，比如自己模擬一下釣魚(yú)郵件發(fā)給大家，看看大家會(huì)不會(huì)上當(dāng)，或者用工具掃描一下網(wǎng)絡(luò)，看看有沒(méi)有漏洞。監(jiān)督的時(shí)候，不光要看表面，還得“問(wèn)”，問(wèn)問(wèn)員工，問(wèn)問(wèn)技術(shù)人員，聽(tīng)聽(tīng)他們的看法，看看有沒(méi)有發(fā)現(xiàn)的問(wèn)題。光查還不夠，還得“盯”，對(duì)于發(fā)現(xiàn)的問(wèn)題，要跟進(jìn)到底，看看是不是真的解決了，不能查過(guò)就忘。

2.企業(yè)安全監(jiān)督的具體方法與工具

想知道公司安全好不好，光靠看還不夠，得用點(diǎn)“方法”和“工具”。常用的方法有“文檔審查”，就是看看公司的安全制度、操作手冊(cè)這些是不是都齊了，是不是更新了，大家有沒(méi)有簽字培訓(xùn)過(guò)。還有“現(xiàn)場(chǎng)觀(guān)察”，就是到現(xiàn)場(chǎng)看看，比如員工是不是在用強(qiáng)密碼，是不是在處理敏感數(shù)據(jù)時(shí)戴著U盾。工具方面，“日志審計(jì)”很重要，就是看系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)的日志，看看有沒(méi)有異常操作，比如半夜有人登錄服務(wù)器。還可以用“漏洞掃描工具”，定期掃描一下網(wǎng)絡(luò)和電腦，看看有沒(méi)有可被攻擊的破綻。還有“安全信息與事件管理（SIEM）系統(tǒng)”，能集中收集各種安全事件信息，幫忙分析。這些方法和工具用對(duì)了，監(jiān)督才能更有效。

3.企業(yè)安全監(jiān)督中發(fā)現(xiàn)問(wèn)題的處理流程

監(jiān)督的時(shí)候，難免會(huì)發(fā)現(xiàn)一些問(wèn)題，比如某個(gè)電腦密碼太簡(jiǎn)單，或者某個(gè)文件沒(méi)加密。發(fā)現(xiàn)問(wèn)題后，得有個(gè)“處理流程”。第一步，“記錄問(wèn)題”，得把問(wèn)題是什么、發(fā)生在哪里、嚴(yán)重程度怎么著都記下來(lái)。第二步，“通知相關(guān)人”，得告訴負(fù)責(zé)這個(gè)區(qū)域或者負(fù)責(zé)這個(gè)設(shè)備的人，讓他們知道有個(gè)問(wèn)題需要解決。第三步，“要求整改”，明確告訴他們需要在啥時(shí)候之前把問(wèn)題解決掉，怎么解決。第四步，“跟蹤驗(yàn)證”，過(guò)了規(guī)定的時(shí)間，要去看看問(wèn)題是不是真的解決了，如果沒(méi)解決，或者解決得不好，得再問(wèn)原因，甚至可能需要升級(jí)處理。這個(gè)流程走下來(lái)，問(wèn)題才能被真正解決，而不是一陣風(fēng)。

4.企業(yè)安全監(jiān)督與績(jī)效考核的關(guān)聯(lián)

安全工作做得好不好，能不能跟員工或者部門(mén)的“績(jī)效考核”掛上鉤？這事兒得看公司怎么想。如果公司重視安全，是可以?huà)煦^的。比如，把遵守安全規(guī)定作為績(jī)效考核的一個(gè)項(xiàng)，平時(shí)不注意安全、出了小問(wèn)題的，可以在績(jī)效上扣分。做得好的，比如主動(dòng)發(fā)現(xiàn)并報(bào)告了安全風(fēng)險(xiǎn)，或者積極參與安全活動(dòng)，可以加分或者受表?yè)P(yáng)。這樣，大家就會(huì)更重視安全，不會(huì)覺(jué)得那是額外負(fù)擔(dān)。但掛鉤的時(shí)候得“公平合理”，不能搞形式主義，也不能一刀切。要跟部門(mén)領(lǐng)導(dǎo)溝通好，讓他們明白安全的重要性，也明白怎么在考核中體現(xiàn)。如果搞得不好，大家反而會(huì)反感，得不償失。

5.企業(yè)安全監(jiān)督中的人本主義考量

安全監(jiān)督不能光靠“冷冰冰”的規(guī)定和檢查，還得有點(diǎn)“人情味”。為啥？因?yàn)槿耸前踩凶钪匾囊画h(huán)，但人也是最容易出現(xiàn)問(wèn)題的。如果監(jiān)督得太嚴(yán)，大家覺(jué)得壓力太大，或者覺(jué)得不被信任，可能就不愿意配合，甚至想方設(shè)法去規(guī)避檢查，那安全就真的沒(méi)保障了。所以，安全負(fù)責(zé)人在監(jiān)督的時(shí)候，要“理解”員工，知道他們?yōu)槭裁从袝r(shí)候會(huì)犯錯(cuò)，比如是太忙了，還是真的不知道。要多“溝通”，而不是一味指責(zé)。可以搞點(diǎn)安全文化建設(shè)，讓大家覺(jué)得安全是大家的事，是互相幫助的事。在監(jiān)督的同時(shí)，也要關(guān)心員工，幫助員工提高安全意識(shí)和能力，這樣安全工作才能做得持久，做得有效。

第九章

1.企業(yè)安全負(fù)責(zé)人如何與外部監(jiān)管機(jī)構(gòu)打交道

安全負(fù)責(zé)人還得跟外部的“監(jiān)管機(jī)構(gòu)”打交道，比如公安局的網(wǎng)絡(luò)警察、市場(chǎng)監(jiān)督管理局這些。怎么打交道呢？首先，得“了解規(guī)定”，知道國(guó)家對(duì)于安全有哪些法律法規(guī)要求，哪些是必須做的，哪些是必須報(bào)備的。其次，得“保持溝通”，平時(shí)要有聯(lián)系，知道監(jiān)管機(jī)構(gòu)的聯(lián)系方式，有什么變動(dòng)及時(shí)知道。如果他們來(lái)檢查，要“積極配合”，不能躲著不見(jiàn)，也不能虛報(bào)情況。要安排好人員接待，準(zhǔn)備好相關(guān)材料，如實(shí)說(shuō)明情況。如果發(fā)現(xiàn)確實(shí)有違規(guī)的地方，要“誠(chéng)懇接受”，不要狡辯，想想怎么補(bǔ)救，然后跟他們溝通整改計(jì)劃。平時(shí)可以多“學(xué)習(xí)”，了解最新的監(jiān)管要求和行業(yè)動(dòng)態(tài)。打交道的時(shí)候，態(tài)度要“誠(chéng)懇、專(zhuān)業(yè)”，目的是共同做好安全工作，而不是互相別扭。

2.企業(yè)安全負(fù)責(zé)人如何應(yīng)對(duì)外部安全審計(jì)

公司有時(shí)候會(huì)請(qǐng)“外部安全審計(jì)”機(jī)構(gòu)來(lái)檢查安全工作做得好不好。安全負(fù)責(zé)人得知道咋應(yīng)對(duì)。首先，得“提前準(zhǔn)備”，審計(jì)機(jī)構(gòu)來(lái)之前，要組織內(nèi)部進(jìn)行一次自查，看看哪些地方可能做得不好，提前整改。還要準(zhǔn)備好相關(guān)的文檔資料，比如安全政策、應(yīng)急預(yù)案、培訓(xùn)記錄、設(shè)備清單等等。其次，得“安排配合”，指定專(zhuān)門(mén)的人員負(fù)責(zé)與審計(jì)人員對(duì)接，回答他們的問(wèn)題，引導(dǎo)他們查看需要的地方。要“如實(shí)介紹”，把自己的安全工作情況實(shí)誠(chéng)地告訴他們，好的地方可以說(shuō)，不足的地方也要承認(rèn)，并說(shuō)明改進(jìn)的措施。如果審計(jì)人員提出的問(wèn)題有爭(zhēng)議，可以“專(zhuān)業(yè)溝通”，解釋自己的情況和考慮，但最終還是要以審計(jì)意見(jiàn)為準(zhǔn)。審計(jì)完了，要“跟進(jìn)整改”，把審計(jì)發(fā)現(xiàn)的問(wèn)題都解決掉，并可能需要向?qū)徲?jì)機(jī)構(gòu)匯報(bào)整改結(jié)果。

3.企業(yè)安全負(fù)責(zé)人如何處理與媒體的安全信息發(fā)布

萬(wàn)一公司出了比較嚴(yán)重的安全事件，比如數(shù)據(jù)泄露了，可能“媒體”就要來(lái)報(bào)道。安全負(fù)責(zé)人就得負(fù)責(zé)怎么跟“媒體”說(shuō)事兒。這時(shí)候，最重要的是“保持冷靜，快速反應(yīng)”，不能慌亂。首先要趕緊評(píng)估事件的嚴(yán)重程度和影響范圍，控制好內(nèi)部信息，防止亂說(shuō)。然后，要“內(nèi)部協(xié)同”，跟公關(guān)部門(mén)、法務(wù)部門(mén)、管理層一起商量，制定一個(gè)對(duì)外發(fā)布的口徑和策略。通常建議“官方發(fā)布”，通過(guò)公司官網(wǎng)、官方微博等渠道，統(tǒng)一發(fā)布信息，說(shuō)明情況、造成的影響、正在采取的措施以及后續(xù)的安排。要“坦誠(chéng)溝通”，該承認(rèn)的錯(cuò)誤要承認(rèn)，該解釋的要解釋清楚，不要試圖掩蓋或者撒謊，否則一旦被捅出來(lái)，損失會(huì)更大。同時(shí)，要準(zhǔn)備好應(yīng)對(duì)媒體的“記者會(huì)”，安排好發(fā)言人，回答記者的問(wèn)題。處理得好，可以展現(xiàn)公司的擔(dān)當(dāng)，挽回一些形象；處理不好，可能引發(fā)公關(guān)危機(jī)。

4.企業(yè)安全負(fù)責(zé)人如何建立與執(zhí)法部門(mén)的合作關(guān)系

安全工作有時(shí)候需要“執(zhí)法部門(mén)”的幫助，比如遇到黑客攻擊，需要報(bào)警。安全負(fù)責(zé)人可以主動(dòng)跟當(dāng)?shù)氐墓矙C(jī)關(guān)、網(wǎng)警大隊(duì)建立“合作關(guān)系”。首先，得“了解渠道”，知道怎么聯(lián)系他們，他們的職責(zé)范圍是啥?？梢栽诠緝?nèi)部建立一個(gè)流程，規(guī)定遇到什么情況必須報(bào)警，由誰(shuí)來(lái)負(fù)責(zé)聯(lián)系。其次，可以“主動(dòng)溝通”，不是等出事了才找他們，平時(shí)可以請(qǐng)他們來(lái)講講課，或者參加一些他們的活動(dòng)，讓他們了解公司的業(yè)務(wù)和安全狀況。如果公司內(nèi)部有安全事件，要“及時(shí)報(bào)警”，并提供他們需要的信息，配合他們的調(diào)查。如果他們來(lái)檢查或者指導(dǎo)，要“積極配合”。這種良好的關(guān)系，在關(guān)鍵時(shí)刻可能會(huì)得到他們的支持和幫助。當(dāng)然，合作不是要搞特權(quán)，還是要依法合規(guī)，目的是共同維護(hù)網(wǎng)絡(luò)安全。

5.企業(yè)安全負(fù)責(zé)人在危機(jī)事件中的媒體溝通策略

上面說(shuō)了跟媒體打交道，現(xiàn)在具體說(shuō)說(shuō)在“危機(jī)事件”中怎么“溝通”。策略很重要。第一，要“快速響應(yīng)”，事件發(fā)生后，別等媒體挖出來(lái)才說(shuō)，要盡快發(fā)布初步信息，告訴公眾知道這件事，公司在處理，請(qǐng)大家放心。第二，要“信息透明”，在可控的范圍內(nèi)，把事實(shí)真相說(shuō)清楚，包括發(fā)生了啥、影響了誰(shuí)、怎么補(bǔ)救。不要報(bào)喜不報(bào)憂(yōu)，或者含糊其辭。第三，要“坦誠(chéng)溝通”，承認(rèn)錯(cuò)誤，表達(dá)歉意，安撫受影響的人。別試圖推卸責(zé)任或者找借口。第四，要“保持一致”，確保所有對(duì)外發(fā)布的信息都是統(tǒng)一的口徑，避免內(nèi)部不同部門(mén)說(shuō)不同的話(huà)。第五，要“選擇渠道”，除了官方渠道，還可以考慮找一些有公信力的媒體合作，發(fā)布一些正面信息，引導(dǎo)輿論。第六，要“持續(xù)跟進(jìn)”，事件處理過(guò)程中，要定期發(fā)布進(jìn)展信息，直到危機(jī)完全解除。這個(gè)策略執(zhí)行得好，能最大程度地減少負(fù)面影響。

第十章

1.企業(yè)安全負(fù)責(zé)人如何進(jìn)行安全預(yù)算的規(guī)劃與申請(qǐng)

安全負(fù)責(zé)人得負(fù)責(zé)搞錢(qián)搞錢(qián)搞錢(qián)，給安全工作花錢(qián)。怎么“規(guī)劃預(yù)算”呢？首先，得“摸清家底”，看看公司現(xiàn)在有哪些安全設(shè)備、軟件是用著的，需要維護(hù)還是升級(jí)？有哪些安全項(xiàng)目正在計(jì)劃中，需要投入多少？其次，得“分析需求”，根據(jù)公司的業(yè)務(wù)發(fā)展、面臨的風(fēng)險(xiǎn)、法律法規(guī)的要求，看看未來(lái)需要投入哪些安全建設(shè)，大概需要多少錢(qián)。比如，是不是要買(mǎi)新的防火墻，是不是要搞一套數(shù)據(jù)加密系統(tǒng)，是不是要請(qǐng)更多的安全人員。然后，得“結(jié)合實(shí)際”，不能漫天要價(jià)，預(yù)算要跟公司的整體財(cái)務(wù)狀況匹配，得有理有據(jù)，說(shuō)明這筆錢(qián)花出去能帶來(lái)什么好處，比如能省下多少潛在的損失。最后，得“有效申請(qǐng)”，把預(yù)算計(jì)劃寫(xiě)清楚，說(shuō)明每一筆錢(qián)的用途和預(yù)期效果，提交給管理層審批。申請(qǐng)的時(shí)候