当一个公司开始设置CSO这个岗位的时候，意味着公司高层希望在某种程度上把信息安全工作抓起来、需要有人对此统筹、负责。绝大多数情况下，这家公司的信息安全已经有了一定的基础、采取了一些信息安全控制措施。那么，CSO应该如何开展工作？

Rapido写的《如何做好首席信息安全官–企业安全体系与架构实现》这篇文章，列举了CSO的12大能力要素，内容全面、见解入木三分，看的很有感觉，但是我认为绝大多数CSO都到不了这个平台，也没必要具备这么多能力要素。根据我的经验进行了一些裁剪，我认为CSO应该要做好4个核心工作（或者说是具备这4方面能力）：1.定目标；2.带团队；3.沟通；4.获取资源。

什么叫“目标”

目标是对效果、改进、提升的定义，可以是量化或者非量化的定义。目标一定要描述解决了什么问题、实现了怎样的改进和提升，而不是对任务、动作的描述，目标还应该包含时间约束。当然，目标分为当期目标、中长期目标。

举例如下：正确的描述方式应该是“Q1结束后，核心研发区域人员出入全部受到检查和管控，没有遗漏”、“到今年底，除访客区外，接入公司网络的各类终端全部符合安全策略”、“本周末实现办公网终端全部实现文件防丢失”，而不是“核心研发区域配备了24小时保安、金属检测仪”、“除访客区外，接入公司网络的各类终端全部安装了接入控制软件”、“办公网终端全部安装并启用了文件加密策略”。

不要小看这一条，是否能真正认识并做到这一点，安全团队的绩效会有质的差异。

梳理现状

定义目标之前，还要梳理现状、对当前的状态有充分的了解。参见风险评估的方法论，很多咨询公司、审计公司都可以帮忙做。但我的建议是，CSO和团队骨干要充分全面地参与到这个过程中、发挥主要作用，如果只是听汇报、看材料，肯定不如一手材料来的真实、客观和深入。

梳理现状的过程中，很重要的一点就是要识别出这家公司的信息安全驱动方式：是业务驱动型，还是事件驱动型，还是消费驱动型。这对于定义目标和后续执行是有很大帮助的。

确定价值、定位、目标、规划路径

确定目标的过程中有4个要素：价值、定位、目标、规划路径。

明确团队价值：就是用1-2句话讲清楚信息安全团队在公司里面的主要贡献、功能是什么，描述方式要让老板听得懂。比如“保护公司的商业秘密不泄露”、“保障公司办公网络不被入侵和破坏”、“保障公司业务平安开展、不被破坏、窃取，且合法合规”。

明确定位：定位就是讲清楚安全团队做什么、不做什么，现在做什么、将来做什么，把边界、尤其是“不做什么”的边界划清楚。如我在第一篇所述，企业信息安全的工作范畴随着“业务安全”概念的引入，有时候会变成一个大安全团队，所以要讲清楚：物理安全管不管？业务合规管不管？是只管办公网络，还是也要负责生产网络？和IT之间是什么关系？要不要负责对抗薅羊毛？和审计部门是什么关系？产品安全要不要负责？有没有处罚权？

明确目标：其实就是“确定要解决什么风险以及优先顺序”。当然，目标需要定期刷新，具体做法在后面的篇章中有介绍。

明确规划路径：目标不可能一步到位，可能分为几个阶段或几年。那就把每个阶段、每年要达到的目标列出来。定目标和规划路径的过程一定要和业务单位高管、公司领导充分沟通，这是统一目标、统一认知的过程，同时也是一个对业务单位高管、公司领导开展安全教育的大好机会。

关于信息安全与IT、流程、运营、质量的关系

在思考和实际执行过程中，信息安全团队不可避免地与公司的IT、流程、质量、运营团队发生关系。华为轮值CEO徐直军在
（http://blog.sina.com.cn/s/blog_1326be2ff0102wbgg.html）详细论述了这几个模块之间的关系。非常值得学习、体会和实践。

关于业务安全

业务安全的概念见第一篇。信息安全团队在完成了对企业信息管理体系的建设之后，就要进入业务安全的阶段了。CSO必须清楚地认知到，熟悉业务、服务于经营是必由之路，让业务平安地、合规地开展、赚钱，是真正突破信息安全业务的天花板的唯一路径。必须从人才、能力、工作内容方面做好全面准备，后面的篇章对此会详细介绍。

组建团队

选人用人的话题就不多说了。

提升团队能力

引入外部专业力量

这里请参考“7-2-1能力模型”，也就是70%实战、20%以老带新、10%才是培训上课，很多管理者在这个问题上容易本末倒置。纵观各个行业的大牛，都不是靠培训形成的，而是在实际工作中、通过解决一个个难题锻炼、成长起来的，这是根本规律，不能忽视。

在带队伍过程中，寻找、利用好外部专业力量是必不可少的，可以开拓视野、吸收学习别人的经验能力。一边实战，一边学习才是最有效的培训和提升能力的方法。

信息安全团队的绩效考核，推荐用KPI+OKR结合的方法。后续篇章会有详细介绍。

树正气

特别想在这里强调“树正气”这个要求，一方面是和供应商、合作商接洽要求，一方面是对内管理、协调。CSO要带头在团队内树立拒绝吃拿卡要的作风，坚持以能力和效果选拔供应商、合作商；CSO要带头在公司内部拒绝山头主义、帮派主义，真正以意愿、能力和成果管理队伍；这样才能带出一支有战斗力、能解决问题的团队。华南地区我亲眼见过、亲耳听过，有4-5家企业的安全团队负责人出身于某单位，能力大都不错，但很不幸的是，该单位号称金融行业的黄埔军校，内斗基因也很强大，导致信息安全队伍关系复杂、流失严重。希望大家都能避免这种情况。

这一节其实和安全技能关系不大，但我认为是作为CSO角色必备的基本、核心能力之一。如果不具备这个能力，其实是一个不称职的CSO。所以想啰嗦几句。

首先搞清楚，沟通的目标是什么？

为什么要沟通？沟通是为了达成3个层面的一致：信息一致、目标一致和方案一致。

信息一致就是把双方掌握的信息搞对称，这是消除误解、达成一致的基础。

目标一致就是在信息一致的基础上，使得沟通双方的立场、出发点、想解决的问题、解决问题后达到的效果是一致的。很多时候不同单位由于部门利益或其他因素，往往会在这个问题上纠缠不清。这时就需要CSO的智慧、合理运用公司内部的规则、机制和潜规则。如果能达成目标一致，问题其实已经基本得到了解决。

特别强调，这里的目标一要符合上面说的“目标”的定义，同时也应该是对公司最有利的目标、而不应该是部门利益优先的目标，只有这样，才可能达成目标一致。我个人遇到的情况，至少80%的误解分歧是由于双方的目标不一致造成的，而一上来就谈应该怎么怎么做，导致最后根本没有办法达成一致。

方案一致就是在目标一致的基础上，使得沟通双方就后续采取怎样的行动步骤和举措达成一致。在目标一致的基础上，这类分歧比较好解决。

和谁沟通、怎么沟通？

PMBOK项目管理知识体系中，我认为最重要的领域就是“干系人管理”，同样的道理运用在CSO的工作中也成立。找到信息安全工作的核心客户、核心干系人，及时、有效与核心客户、干系人达成一致，让核心客户、核心干系人支持信息安全工作，CSO的工作已经成功了一半；反之则会重重阻碍。很多技术出身的安全人员担任管理岗位后，往往没有特别好的业绩输出，其实就是输在和客户、干系人的沟通管理上。

同时，在沟通中怎么让核心客户、核心干系人听得懂、快速理解和接受，也是一个重要的技能，这里就不赘述了。

与合作部门的沟通合作

信息安全工作与IT、行政、人事、财务、法务、质量&流程部门往往会有合作，因此与这些合作部门的老大保持良好的沟通也是必要的。尤其记住，人事和财务是不能得罪的，有理有利有节最重要。

项目管理&及时的汇报、成果展现

是的，作为CSO，你的成果就是整个团队的成果。因此，及时的汇报、成果展现是必须的。既可以让客户、核心干系人看到你的进展和成果，同时也将工作进展中的问题、困难展现给客户、也是一个绝佳的教育措施。没有人会嫌弃你汇报的太多。记住，凡是沟通皆教育。

定了目标就要干，没有资源怎么办？作为管理者，获取必要的资源是CSO的重点工作之一，不同的企业环境下可能还是核心工作。

资源包括人、财、物、政策、内部支持者、供应商&合作商资源。具体就不多说了。

有任何意见、建议和想法，随时可以联系本人，记得我的邮箱：

truebasic@hotmail.com，欢迎交流！