《企业安全建设指南：金融行业安全架构与技术实践》 —3.3.5　上层汇报

3.3.5　上层汇报

管理领域有个话题—如何管理你的上级，将上级作为你工作的资源之一。这是非常重要而有趣的话题。安全汇报是“管理”上级工作中非常重要的一环，往往也是安全人员最不擅长的一环。

首先，要建立面向高级管理层、IT部门总经理、安全团队内部的安全汇报体系。每年至少要向高级管理层汇报1～2次，内容包括安全规划、安全形势、重大安全决策等。汇报形式可以是IT治理委员会或总裁办公会框架下的正式会议，也可以是定期的签报形式，这取决于企业内部的流程规定和具体需求。

其次，要在IT部门和安全团队内部进行常态化的安全汇报，此类汇报的内容要围绕三个目的展开—介绍取得的成果（邀功），表扬先进和督促后进，索要资源。

具体到安全规划的汇报，建议先向IT部门总经理汇报，就目标、计划、资源达成一致。但大部分总经理没有精力也不应该过多关注解决方案等细节，最多可能关心现状分析中存在的主要问题。达成一致后最好能在高级管理层汇报一次，可以是单独的安全规划议题，也可以合并在IT战略规划中，向高级管理层报告。