安全负责人如何回答老板必问的这5个问题

如：怎么会这样？我以为一切都在你的掌控中。是哪里出问题了？

答复建议：

坚持一个事实：安全事件不可避免。“坦荡地”简述事件情况，详细汇报对实际业务造成的影响，提出不足的地方，并给出一个减损的处置计划。

二、利弊权衡问题

如：我们做到100%的安全了吗？你有十足把握吗？

问出这类问题的boss完全不懂安全。安全负责人的任务是找到风险最高、一旦出错对业务影响最大的资产或区域，根据业务需求分配有限的资源去做安全管理。

答复建议：

网络威胁不断变化，消除所有安全风险是绝对不可能的。我的职责是通过安全控制措施来管理风险。随着我们业务的增长，需要不断评估所能承受的最大安全风险程度。最终目标是建立一个可持续的计划，平衡安全防护和业务发展这两个存在一定矛盾的需求。

三、“八卦”问题

如：某某公司这次被监管处罚到底怎么回事？都上头条新闻了！会有多大麻烦？我们有没有这类风险？

究其根本，老板八卦这事儿就是缺乏安全感，看到网络上的威胁报告、文章、博客和监管要求就焦虑，他们想知道同行在这方面做了什么，整个行业的动向是怎样的。

答复建议：

其它公司发生安全问题的根本原因很难猜得准，与其和老板一起“八卦”，不如给他吃颗定心丸。

“他们内部具体消息众说纷纭的，有准确的新消息我会立刻汇报。针对这类安全问题，我们已经有一套完整并经验证的响应流程，我也会持续更新业务连续性计划，最大程度降低同类安全事件对我司可能造成的业务影响。”

四、风险问题

如：你了解我们面临的所有安全风险吗？

老板这么问说明他知道风险永远存在的道理。他们想知道风险都在你的掌控之中。你需要说明企业的风险承受能力，让整个风险管理决策按照这个标准走，才能干好工作。

答复建议：

用数据或事实说明风险管理决策对业务的影响，而风险承受能力是关键，左右决策走向。

任何超过承受能力阈值的风险都要改进，但不一定需要在短期内“大动干戈”，过度处置可能会对业务造成负面影响。

（老板要对整个企业的风险负责，其中网络安全虽然重要，但也只是其中一小部分。因此他们希望你能够把控重大风险，向他们汇报一定要简短扼要，缺少安全控制措施对他们来说不是风险，也不会是下一个重大威胁，一定要把精力放在你把控的“大项目”，如知识产权保护、监管安全和第三方风险。）

五、成本投入和安全效果问题

如：我们的资源分配是最优的吗？我们的安全投入足够吗？为什么安全开销这么大？

老板这么问是希望从你这里的得到保证，你有考虑投资回报率，他花的每一分钱都用在了刀刃上。

答复建议：

用平衡记分卡方式作工作汇报。

老板一般都会制定业务战略并设计相应的绩效，安全负责人应尽可能用业务绩效而非技术角度进行呈现，根据一些第三方的客观的标准，评估和输出安全运营数据，以此体现安全效果。

https://www.gartner.com/smarterwithgartner/5-security-questions-board-will-definitely-ask