Gartner：CISO上任后首个100天的行动指南（2022）（21页）.pdf

1、 2021 Gartner 公司及/或其关联公司版权所有。保留所有权利。CM_GTS_1416419 Gartner IT 领导者 CISO 上任首个上任首个100 天的行动指南天的行动指南 分析师：William Candrick、Sam Olyaei、Tom Scholtz Gartner 公司|G00747118 第1页，共 18页 CISO 上任首个 100 天的行动指南 发布日期：2021 年 5 月 24 日-ID G00747118-阅读全文约需 20 分钟 分析师：William Candrick、Sam Olyaei、Tom Scholtz 项目：安全与风险管理领导者 担任首

2、席信息安全官（或同等职务）的前 100 天，将决定你是否可以作为安全与风险管理领导者取得成功。为此，Gartner将通过本研究提供相关的指导和支持，帮助新任 CISO 在这个关键的过渡阶段取得最大的成功。概述概述 主要发现 成功的首席信息安全官（CISO）是领导者、管理者和沟通者，而不是技术人员。CISO 的成功取决于是否能够实现以下两个重要成就：（1）建立个人信誉和领导力品牌，以及（2）为防御安全项目奠定基础。如果新任 CISO 不能理解领导层的期望或不能有效传达安全项目如何支持业务成果时，他们就会陷入困境。建议建议 任期内的首个 100 天，CISO 应该：将你的领导要务与业务成果及目标联

3、系起来，加强网络安全项目与业务项目的关系。在深入研究技术细节和进行技术决策之前，先制定一个安全战略。确定你可以在 CISO 任期内前 100 天完成两到五个优先事项，这将最大限度地提高你的成功机会。在不可预测的安全事件发生之前，为其留出更多处理时间，避免延误战略项目。分享战略愿景，展示员工融入该愿景的方式并避免公开批评前任 CISO，从而赢得安全团队的支持。Gartner 公司|G00747118 第2页，共 18页 导语 在担任CISO的前100天，你将有机会确定自己的角色和职业关系。你可以在这段短暂的“蜜月期”内制定战略、与其他高管建立关系、获得领导层的支持、与新团队建立信任以及展现你的领

4、导风格。如果这时贵企业需要对网络风险治理开展重大改革，或者需要大幅提高安全项目的成熟度，那么这个机会就显得尤为宝贵。本研究将主要探讨杰出的 CISO 充分利用这 100 天的具体方法。另外，我们将这 100 天分成了六个阶段，它们分别是：准备阶段、评估阶段、规划阶段、行动阶段、衡量阶段和沟通阶段（图 1）。图 1：CISO 上任后首个 100 天的路线图 CISO 上任后首个上任后首个 100 天的路线图天的路线图 沟通沟通 在整个任期内让利益相关者参与进来 来源：Gartner 747118_C 在上任前，对你的角色进行规划 了解安全部门的当前成熟度 为首个 100 天制定路线图 采取行动，

5、大幅提高成熟度 证明安全部门取得的进展 1.准备准备（上任前）2.评估评估（第 1-4 周）3.规划规划（第 3-6 周）4.行动行动（第 5-12 周）5.衡量衡量（第 11-14 周）Gartner 公司|G00747118 第3页，共 18页 阶段阶段 目标目标 准备 在上任前，对你的角色进行规划。评估 了解安全部门的当前成熟度。规划 为首个 100 天制定路线图。行动 采取行动，大幅提高成熟度。衡量 证明安全部门取得的进展。首个 100 天计划 简而言之，成功的前 100 天计划安排应该：建立你作为 CISO 的信誉，提升安全部门在企业中的内部品牌和形象。确定安全部门当前的成熟度（见安

6、全与风险管理 IT Score 评价模型）。重点关注各战略项目下的细分项目，细分项目应通过合理的方法（如成熟度评估、风险评估等方法）选择并确定优先等级。缩短卓越安全运营和业务价值（如高管的优先事项）之间的差距。确定现实、可衡量、有时限的目标，并设定衡量标准来跟踪这些目标的进展。下面，本研究将为实现这些目标提供易于操作的指导。准备阶段（上任前）准备阶段（上任前）在上任前，为你的新角色做好准备，制定好初步规划，从而为成功的开始奠定基础，并为你的CISO 任期建立需要的职业关系。准备阶段需要实现的目标成果准备阶段需要实现的目标成果 在准备阶段，你要以实现下列成果为目标：大致了解大致了解你的角色和你的