=Start=

缘由：

入职新公司，想起来之前看到的一篇文章《Your First 100 Days as a New Chief Information Security Officer》，虽然我还不是 CISO/安全负责人 ，但学习一下更高阶人员的思路、技巧和思考方式对于自己的工作也是会有一些帮助的，因此整理记录一下，方便有需要的时候参考。

正文：

参考解答：

---

从上图可以看到【与利益相关方的持续沟通】是贯穿你的整个工作/生活的。沟通必不可少，且是和真正的利益相关方——因此你需要很早就要能知道谁是你的“利益相关方”（谁是你的朋友，谁是你的敌人，这是革命的首要问题，搞不清楚就注定会失败）。

---

使用 Gartner 的新CISO工作清单作为该职位成功的路线图。

你担任首席信息安全官（CISO）的头100天是建立你的信誉和提升安全组织内部品牌的机会。

这个短暂的“蜜月期”可以让你定义自己的角色，制定战略，建立专业关系，获得领导支持，与新团队建立信任，并表明你的领导风格。

Gartner首席分析师William Candrick表示：“那些在头100天内制定了强有力的战略计划的人很可能会取得成功。”。“如果企业需要对网络风险治理进行重大改革或显著提高安全计划的成熟度，情况尤其如此。”

首席信息安全官的角色对组织来说越来越重要，而且雇佣成本往往很高——这意味着你需要迅速证明自己的价值。

一个成功的首席信息安全官主要是领导者、管理者和沟通者，而不是技术专家。早期的成功取决于你的能力：
建立个人信誉和领导力品牌；
为防御性安全计划奠定基础。

Gartner将首席信息安全官的前100天分为五个阶段，每个阶段都有关键的目标结果、行动和想法需要考虑。

帮助新首席信息安全官上任100天的五阶段路线图。

1. 准备（第一天之前）

不要等到工作的第一天才开始。在开始之前，请先了解您的企业并确定关键利益相关者。在LinkedIn/微信上与他们联系，并在第一轮见面之前准备一份简洁的个人介绍、问题和谈话要点。

这个阶段侧重于倾听和学习，而不是决策。在担任首席信息安全官的头几周内，避免做出笼统的公告或决定。

你的目标是对你的角色、利益相关者的一系列期望以及与领导层和员工会面的基本参与计划达成共识。

2. 评估（第1-4周）

接下来，您需要了解安全功能的当前成熟度和性能。决定什么有效，什么无效，以及在前三到六个月你会优先考虑什么。（了解实际现状，然后决定先做什么、做到什么程度，再做什么，以及不做什么）

寻找一位能够深入了解企业文化的高管导师。确认您可用的资源，包括资金、员工人数和技术。然后，使用正式的成熟度评估、团队对话和利益相关者参与来找出安全计划中的差距。制定一份三到五个战略优先事项的优先清单，以解决这些差距。

3. 计划（第3-6周）

把你学到、了解到的东西变成行动的蓝图。与您的团队、直线经理和业务利益相关者分享您的安全计划愿景。这是您设计和改进新安全组织的机会。

在此阶段结束时，您应该：
一份有文件记录的安全战略计划，在头100天内优先考虑两到三项安全举措，并在第一年制定一份宽松的路线图。
确保有足够资源实现优先事项的安全预算。如果缺乏资源，那么战略计划应该相应地进行调整，使其能够实现。

4. 行动（第5-12周）

这是你第一次有机会取得明显成果。

在最初的100天里，你的行动应该集中在建立个人信誉和提高安全在企业中的地位的切实成就上。最初的成功确保了更多的认同，这支持了更多的成功，从而为您和您的团队创造了一个改进和成就的循环。

5. 衡量（第11-14周）

开始提供你的影响的证据。定义一系列安全指标，并制定一个高管报告流程，以便让其他人知道你会做什么。

突出早期的胜利和挑战。衡量和沟通是成功的首席信息安全官的标志，你应该在整个任期内为此付出巨大的努力。

你做了什么、并取得了什么成果（以及遇到了哪些问题和挑战），不光你自己要知道，更重要的是让老板们知道，否则容易出现“无用功”的情况（因此在一开始的时候你就需要和他们对齐他们想要什么、什么是他们的重点、他们最关注什么，然后你就把老板们关注的也确实重要的事情作为你的工作重点）。

参考链接：

Your First 100 Days as a New Chief Information Security Officer
https://www.gartner.com/smarterwithgartner/your-first-100-days-as-a-new-chief-information-security-officer-2

=END=