用15分钟和7张幻灯片向董事会做一次安全展示

当您被要求向董事会做一次安全展示时，您应该抓住这个机会让您的高管了解安全知识。但冗长而深入的展示很有可能会让董事会不得其解，而不是让他们能够正确分配资源。

更重要的是，整个董事会报告环境已发生改变：一些领导人的报告频率高于其他人、有些领导人向执行委员会报告、有些领导人则向网络安全董事委员会报告。但所有企业机构的所有领导人最终都必须以某种方式、形态或形式向他们的高管至少做一次安全风险报告。

Gartner研究总监Sam Olyaei表示：“董事会对安全和风险管理的兴趣日益浓厚，但董事会需要了解的内容与安全和风险管理领导人所传达的内容之间往往存在偏差。安全和风险管理领导人必须提供与董事会相关并且与业务一致的内容，同时还需要保证这些内容不会因为过于技术性的解释而阻碍董事会的理解。”

终极指导：网络安全

企业机构在安全方面的投入日益增加。据Gartner估计，到2025年，40%的董事会将有专门的网络安全委员会并且该委员会将由具备相关资质的董事会成员监督，而现在这个比例只有不到10%。这意味着董事会不但要讨论企业层面的网络安全风险，部分董事会成员还需要对此负责。Olyaei表示：“沟通和报告更像是一门艺术，而不是一门科学。安全领导人必须能够在分配给他们的时间内让董事会了解安全知识、感到放心、获得支持并知情。”

因此，终极问题是：您如何做到这一点？首先请记住，董事会成员关心三件事：风险、价值和成本。您应该确认您的内容“击中”了这三件事中的哪一件。

确保您在展示中能够回答关于网络安全如何支持公司主要使命和业务、相关环境因素及重大风险管理力度等方面的关键问题。

最重要的是，请不要在展示中进行过于技术性的解释。保证每一点都简明到董事会可以理解的程度，同时又详细到可以反映真实情况的程度。最后同时也是最重要的一点是传达您对企业的客户满意度、财务业绩、声誉/法律观念和其他常见业务成果方面的价值。

Olyaei建议将展示浓缩成七张幻灯片，包括介绍和结尾幻灯片，使整个展示时间只需要15分钟左右。

幻灯片1：开场

幻灯片1需要吸引大家的注意力。该幻灯片应采用稀疏的结构并简单列出后续幻灯片所涵盖的主题。该幻灯片应表明此次展示将包含业务执行、战略、外部发展和风险状况方面的信息，同时设定高层次的场景。

幻灯片2至6：业绩以及对业务执行的贡献

首席信息安全官很难证明安全如何影响业绩，但在向董事会进行展示时，必须以暗示或明示的方式将安全和风险与董事会所重视的业务要素相联系。

您可以通过一套对企业有意义的安全展示幻灯片来强调指标以及安全团队如何为积极的成果做出贡献。同时，您也应该准备好解释潜在的问题领域以及它们的影响。您还需要准备更详细的文件来说明您如何设计出每一项指标，以免任何董事会成员询问。

幻灯片3至6应讨论外部事件对安全的影响、现有风险状况的评估情况（这可能会因收购和其他事件而改变）以及整体安全策略。

幻灯片7：行动呼吁

最后，请用一张结尾幻灯片来重申您的主要观点和所有行动项，为您的展示划上一个圆满的句号。关键在于通过强有力的结尾，让董事会对您的计划和能力充满信心。您也可以在此时回答问题并对董事会表示感谢。

声明：本文来自Gartner公司，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。