诸子笔会 | 12月盘点，打卡积分及月奖公布

Original 是贾贾安在 2022-07-04

收录于合集 #诸子云征文 9个

安在征文活动12月主题：总结报告

在本月的征文活动中，参与者金句频出，从“为什么要做总结报告”，说到“应该怎样做一份年终总结报告”，构建了一个较为完整的实践逻辑。在此摘选个中优秀观点，向各位分享。

为什么要做总结报告？

►总结是对一年收获的提炼，问题的复盘反思，来年目标的计划，总结是必要的，也是必须的。总结应该是一个常态化的工作，从总结中提高，年底啦，需要总结的内容貌似有点多啊。

► 总结的好坏直接决定了明年计划的好坏，今年的预算花的效果如何决定了明年预算是否能顺利就位。总结不是为了记账，需要从账本中进行数据挖掘，发现更深层需要提炼的聚点，指导下一步计划。

► 供应链安全是串起多种安全风险分类的安全风险的统称，其实和安全事件发生后肯定不仅仅是单一环节出问题一样，绝大部分安全事件都会关联到供应链安全。所以做好供应链安全就是做好各个安全分类风险的工作，同时做好串联和流转，同步提升。

► 安全工作是自上而下，总结还是应该自下而上，从实际现状出发。安全总结应围绕核心业务和重要资产，形成总结报告，最重要的是需要高层了解。总结的充分与否直接映射了今年安全工作做的到位与否，总结不到位，来年不好干。换个说法，安全工作没出成绩，年终总结也是扯淡，安全这个活没法弄虚作假。窟窿一大摞，总结漂亮不了。

► 工作就要总结，尤其是安全类的管理工作阶段性总结可以回顾过去，看成绩看问题，同时展望未来，螺旋型上升。回顾过去一年，安全合规层面继续加码，法律行业规范发布的频度空前频密，现在不论任何组织是个领导都把安全挂嘴上，这给了我们舞台同时也给了我们目标和压力，总结经验之一。

► 看来log4j让很多安全人都触动了，连夜整改，总结漏洞整改工作，修复不是最困难的，如何全面测试应用兼容性，修复版本不会重现漏洞情况才体现一个企业安全管理的体系化程度。如何评价安全工作业绩一直是困扰我们的难题，出事了肯定没好果子吃，不出事一样没存在感，怎么办？总结工作很重要。

► 总结的过程涵盖差距分析和纠偏以及滚动重新设定目标几个逻辑在里面，这里面有自省的成分也有向上汇报以及横向告知的含义，如果企业对安全总结只是知晓的状态，那就只能自省改进自求多福了。

► 年终总结是对一年内工作整体性梳理，往往在总结过程中会发现很多零散工作串联起来后能绘制一条忽略的发展路径，对下一阶段工作起到灵感式的启发。正好手头要做一个跨年的安全专项整治工作，协调业务、开发、运维等部门，总结经验，安全部门负责判案子的工作越来越多，挑战我们的专业性和能力。

怎样做一份年终总结报告？

► 安全总结需要多面性，人、组织、流程、措施等，哪个方面不总结下都觉得缺点啥，总结更像是一个学习完善自己的过程。总结还包括对既定计划的验证和差异性分析，总结正向偏差，分析负向偏差。

► 总结应突出安全成绩，剖析存在的问题，明确未来建设的目标，梳理好卖力干过的、在干的、将要干的事。总结就是定期更新完善的过程，完善知识框架，安全体系，流程制度，从个人到公司，需要持续不间断。

► 总结常规思维应该算事后，对上一阶段的工作过程和成效汇总提炼。安全意义的总结更广义，还需要把规划列入总结的一部分，将总结延伸至事前。从关键业务和重点事件总结分析，分析资源分配的合理性，需遵从二八定律，让优秀资源赋能核心业务。

► 法律法规大年，得梳理下前期解读的成效，总结下多少要求和条款已落地，先把合规基线这关过了。总结应该形成习惯和氛围，会议可以适当砍掉，总结的工作不能省，不总结应该是惰性。年终总结需要客观，结合实际，内容扎实，否则意义不大。

► 体系建设是安全建设的第一步，总结从这里开始。总结的第二方面，今年的安全风险趋势是怎样的，有什么需要特别关注的新的风险领域和技术的出现。总结第三方面，今年都遇到了哪些安全事件，如何处置的，是因为现有体系中的哪个部分有缺陷导致的事件。第四部分，总结在管理方面的工作，包括制度建设、流程合规、组织架构优化。总之非技术性的工作内容之汇总。第五部分，技术管控，安全技术的数字化和自动化是实现安全管控的必要条件，总结技术实现项目的落实情况以及管控效果，充实安全管理的技术手段。第六部分，安全检测与评估，检测与评估是对已完成工作的整体评价以及效果检验，总结该内容可对整体目标进行再确认和复核。第七部分，预算执行情况，这个部分是和年初项目规划匹配来看的，年初的预计目标有没有达到，有哪些偏差和经验都需要总结。总结要从领导层面看待整体安全工作，花了钱办了哪些事，降低了哪些风险，解决了哪些事件，发现了多少问题。总之一句话这些钱花了值了。

► 归根到底安全服务于业务，提供支撑业务的安全处理以及安全控制能力更容易被企业理解和接受，因此总结应该从业务视角出发，体现安全的价值。今天在汇总企业年度工作报告，其中信息安全建设的内容属于大标题下，一级小标题的其中一小点，大约300字。这已经是企业报告中唯一一个被点出来需要单独阐述的工作的部分，也许安全工作不那么显山露水，但其重要程度已经在这俩年工作报告中显现出来了，作为安全人感到骄傲的同时也感到责任和压力！

► 从受众，目的，陷阱避免，内容框架三个层面总结了一下自己的经验，也算是个阶段性总结。为什么把受众和目的写到第一部分，是因为太多直奔主题的例子，写给谁看，为了啥搞不清楚的案例，没有这两个方面的思索，年终总结容易沦落为流水账。年终总结避免的3个陷阱和日常技术人员思维误区相关，数据的无效无关，概念缺少事实，卖弄技术得过于专业，要谨记避免。年终工作总结的框架首先在规划回顾开始，相对于规划阶段的模糊和不确定性，一年的实践对规划的前瞻性和误区进行复盘，是理清思维，总结经验教训的良机，需要放在首位。年终总结的第二项内容是价值分析，价值分析不是做了什么事，而是做的事对公司战略和业务的正面影响，是从战略和业务的角度解读安全的价值，这一点重要的是要具备全局性思维和懂得战略与业务的语言。年终安全工作总结的第三块内容是差距分析，针对实际的风险状况，评估安全策略的有效性与不足，对安全策略的优化调整，能力建设的差距进行梳理，为后续的改进提供基础。

更多内容及打卡详情，参见诸子云知识星球。

本月共发出7篇以“总结报告”为主题的专家文章，在此附上链接，供诸位参考。

刘志诚：从业务视角看安全团队工作年度总结

蔚晨：2021年网络与信息安全年度评述

王振东：年度总结：回眸从系统开发到隐私保护跨行之旅

孙琦：一份企业安全负责人的2021赛季年终回顾

杨文斌：从了解到总结的安全修炼

赵锐：从工作总结看网络安全人的职业发展

肖文棣：年终总结之《论语》与安全之道

根据征文活动规则，综合每日打卡、投稿及文章阅读量折合积分后，现将参与者总积分表公示↓

在此恭喜刘志诚以第一的成绩获得征文活动的12月月奖，并获奖金1000元！

目前有2位笔会作者未能完成本月投稿目标，还请各位再接再厉！另外，欢迎有意参与笔会活动并做后续挑战者报名！（有意者请扫描下方二维码加入）