以下文章来源于安全哨塔 ，作者刘强

各位辛苦了一年，想必大家都在为2024年的工作成果作最后量化总结，反思过去的不足，衡量个人，团队OKR或个人KPI是否达标，准备着向上述职汇报。汇报的目的大致有几个：阐述工作成果、赢得领导信任、展示自我、获取资源分配权、表达未来期望、升职加薪机会等。

关于有价值的总结或汇报，规划内的工作自评大致可划分两个层次。第一，是否做到。始终围绕年初制定KPI情况，再基于SMART原则量化标准，经自我评价、检视后达成或交付的结果是否符合当初的预期，这是最基本的层次即基础标准。第二，是否做好。自我评价安全技术的实施或流程管理机制效果是否解决业务侧安全需求、平台安全痛点、安全运营服务提升了哪些效率及安全解决方案在业务侧带来了哪些贡献值，赋能服务指标是否达成等，重点是得到业务部门的认可，核心是围绕业务讲安全价值，这是衡量工作好不好，是否有质量有价值的的进阶标准之一。

那么非规划内的工作往往是突如其来的工作任务，穿插在OKR目标过程中，比如来自金总安全监管要求、客户需求或要求、非标准化的安全服务、领导“突发奇想“交办的任务、突然的安全事件整改任务、护网行动或“两高一弱”暴露或识别到风险值较高的处置任务等等更能够引起领导关注的专项事务，在总结汇报的时候必须得专项事务得专项汇报，不仅要提高到足够的重视程度，同步还要思考是否做到，做得好不好，更好把握专项任务做得对不对，有没有在压力下导致变形，建立的衡量指标或评价指标是否有说服力。指标衡量标准上是否符合到监管预期、业务或客户预期、领导当初的交办预期，是否有充分的数据支撑。总而言之，2024年工作总结或反思的要点，跟企业自身企业发展所处的阶段、领导风格、聚焦事项有所不同，有价值的总结汇报，并不是一个点或面，更聚焦整体上的呈现，更更依赖于日常向上管理互动，富有成效的沟通。总结汇报更讲究与汇报对象之间的默契、彼此信任关系程度，在这里不好赘述。

本篇谈的重点不是年末总结汇报，而是对来年工作规划的一些思考，比回顾过去面向未来更具有意义一些，与同行一起探讨，共同成长。然而，对于工作规划，成熟的的思考及未雨绸缪决定了未来一年的工作目标感、松弛感、成就感，甚至幸福感。即便在未来一年中出现动态变化，有了理性成熟的规划思考，就犹如摇曳中的阻尼器，便可从容应对。

2024年份就剩24小时，2025年元旦即将开启全新的一年，新闻媒体及行业自媒体都在分析政策和预测来年的市场经济环境。有分析认为，过去中国经济环境是最差最难的8年，随着国家政策释放的积信号，将大力扶持相关行业的发展，有积极评价认为2025年即将迎来涅槃重生的元年。作为普通老百姓和网安从业者和大家一样希望市场环境好起来，焕发新的经济春天，这样每个人均充满自信心迎接美好的未来。凡事预则立，不预则废。在这跨年之际，谈谈企业网络安全工作规划的个人思考。

一、安全需求的形成或来源

说到每年安全OKR的规划和实施路径，应该说是年底首席安全官或负责人均绕不开的话题和思考点。每家企业对安全工作的重视程度、监管范围及细粒度、组织架构和协同模式及业务服务面向对象等不一样。那我们该如何形成来年的安全工作需求并将其纳入团队OKR目标。个人认为须围绕两个价值：具有业务价值和个人或团队成长价值，即双赢。

1、首先，安全需求应该来自于业务（客户）或评价方。

类似于以上安全需求，起初可通过问卷调查表，跟负责人一对一访谈、小组讨论等方式，初步收集不同部门、不同层级分支机构网络安全需求。再由安全部门线下组建一个包含IT技术平台、法务、合规、业务解决方案、分支机构、总部行政及人力资源等组成的临时虚拟的跨部门讨论团，确保从不同角度充分考虑网络安全需求和建议。也是从安全角度“兜售”解决方案的最好途径，一起分享讨论以获得更友好的支持。若集团有信息安全委员会虚拟组织、团队有安全BP角色，组织协同效率和质量或许更优。

当然，在安全需求收集和调研、讨论阶段，大致还会遇到如下其他情况：

• a.业务侧、非IT部门非技术出身，不能提出较好的安全问题或需求。

• b.脑洞较大，脱离实际的安全需求问题，效率平衡问题、响应积极性问题。

• c.非安全需求，在安全服务工作上拿来批斗和质问质疑和超越红线的问题等。

面对以上问题，首先是耐心的科普，再通过深入分析沟通，挖掘其实质性的根本症结，从安全专业角度给予指导和服务，用小而美思维巧妙化解疑惑。对于提出比较有价值的安全需求，首先站在安全专业角度，从合规、业务影响面，预计投入产出量等评估其是否可纳入年度安全任务或目标。将收集的安全需求形成列表，用文字充分还原调研的结果，现状、需求点或痛点及附上解决方案，对有价值且须投入人天的安全需求工作，给出初步的时间计划表和指标衡量标准，需参与的协同部门、人等在需求表里列出，之后再一次约相关部门碰头会，对齐安全需求，尽可能将需求的理解保持一致，最终形成会议纪要传递给相关方。你会发现在这期间，在收集安全工作需求的过程中，同步可感受到业务侧的“情绪”。反之，也是努力改善的方向。

2、其次，来自于监管或客户的安全要求。

谈到监管政策，必须聚焦金融行业信息技术安全管理规范的发布，往往金融行业政策对安全的指引是一个风向标。尤其对非金融行业甲乙方企业，更需要保持敏感度，毕竟是把握客户需求最有效的手段，保持自身产品与时俱进的策略，抢占市场最佳实践。回到甲方企业安全需求规划来自监管的问题。首先，需要了解自身企业业务、产品、服务等是否有直接或间接的监管关系，比如来自金融总局、人行、地方金融监管局政策监管驱动以及自身产品、业务有等保合规的硬性需求，以我所在企业智能终端，供应链金融科技为例，均需要符合个人信息保护法、数据安全法、金融应用安全管理规范标准以及地方金融局的管辖。从法律法规及自身业务合规性角度，挖掘新的安全政策需求。尤其ToB业务模式下的客户安全需求，可基于过去跟客户沟通、互动中呈现出安全需求。当然，说着无心听者有意。过去日常工作当中有意识的记录来自业务侧提出的安全需求、客户沟通过程捕捉的安全建议等，都是思考安全工作规划的来源。

✅举例数据安全政策和等保测评团标要求：

再比如可对标团体标准《网络安全等级保护容器安全要求》挖掘容器部署环境安全、身份鉴权、访问控制，安全审计层面是否服务团标要求，作为合规项纳入安全工作需求。

3、再次，来自安全团队总结、梳理安全技术或管理短板，形成需求。包括日常风险评估发现的威胁与漏洞、安全维稳的扩容等常规工作任务项。在这里不做展开。

4、最后来自于自动化安全运营需求，利用AI大模型在内部部署实现自动化安全运营能力的提升，实现提效降费。基于内部知识库+AI赋能业务安全，实现安全解决方案文档自动生成、安全威胁数据、漏洞情报的自查查询等等，例如开源组件版本库信息。

5、AI安全领域的学习提升，保持与时俱进。聚焦解决算法安全性、训练数据的完整性保护、模型鲁棒性以及Ai应用的合规性。同时，在内部制定AI应用的安全政策、规范及细则，力求符合监管合规要求。

二、论证安全投入的必要性及预算思考

大环境背景下且团队人力局限性的情况，安全工作应该主打“聚焦”。

1、将以上归纳为需求总表，跟相关方对齐和筛选出有价值的工作项（尽可能双赢），约彼此双方管理团队领导、需求提出人、财务部门等对齐和评审安全需求所需投入（人力/财力）。面对来年的安全需求工作，在汇报阶段和需求方一道汇报的目的是更好的获取高层领导的支持，避免自说自话。

2、将初步对齐的工作项形成OKR及拆分出需相关部门协同配合的工作项纳入彼此的OKR目标，实现同级间目标横向观察评价、上下级之间纵向检视考核。

3、预算思考：基于成本控制角度，核心场景遵循外采为主，开源自研为辅的基调。非核心场景遵循开源自研优先，外采为辅的原则。

三、优先级分析与排序

首先，从自身角度复盘团队技术与运营管理能力水平、人力资源情况等。常规性的遵循监管—客户（业务侧）—部门间合作需求—安全团队自有安全规划—新技术研究与安全管理平台开发这条线确定先后优先级顺序，特殊情况除外，可基于OKR动态调整。

四、安全需求对齐与培训

为了使得各方提出安全需求性任务，在彼此的认知当中得到充分理解和消化，将需求方作为汇报对象，告知未来将如何开展工作，方式方法、目标拆分、预期结果等内容，确保对工作指标的理解不走偏，并形成会议纪要。

五、建立反馈沟通机制

将与各方确认的安全需求任务OKR进度在HR系统或将该接口链接到内部专属知识库并保持更新，为需求方提供AI查询服务或主动将进度保持定期推送到需求方邮箱。此举看上去不那么重要，甚至认为不太会关注，但别忘记承诺的指标和年底的评价，话语权将决定安全部门的工作质量和服务贡献值。业务导向的企业一向如此。

六、寻求高管团队的支持

这个太重要了，搞定了高层，就成功了70%。

1、首先，调整汇报策略，讲高管想听的，不讲做了会如何，而是讲不做会如何？比如合规风险值较高的场景、论述不投入会怎样？影响合作的痛点，不整改不完善会怎么样？讲绕不开的，比如监管、客户要求不履行，会怎样？一切从反向角度阐述问题；从企业责任层面拔高工作的价值等。

2、其次，一定要正式邀请需求方、内部甲方爸爸、财神爷一起参与汇报，当然需要事先模拟，充分论证其需求必要性。

年度安全工作规划的思考，成熟度、阶段不同思考点不尽相同。一个企业有来自其他部门的安全需求，将是一件幸福的事，否则在业务导向的公司，安全需求主要来自安全部门自己创造需求，将可能变得毫无意义或价值，除非有绝对的地位。好比有些乙方基于个人经验或臆想创造的产品，在甲方企业落地有时候变得格格不入、水土不服或价值度不高是一样的道理，那么甲方安全需求的形成过程就好比乙方角色。真需求、好的态度及接地气的服务将是价值风向标，这也许就是雷军所表现出来的态度经济。

反过来，若甲方企业安全需求的形成过程，业务部门、领导及整个公司对安全没有需求或要求，甚至在某些情况下不断否定、打压、冒合规风险，甚至认为出问题后再衡量投入或再引起重视，那么就要思考个人发展了。无妖怪，非悟空。