人人搬屋安全之殇：如何将安全建设与商业价值挂钩？

企业的安全部门向来不是一个能挣钱的部门，高管层很容易就将安全投资看做一项必不可少却又心不甘、情不愿的成本负担。在这种情况下，安全负责人该如何向高管层汇报安全活动的商业价值？

通常，安全负责人在试图说服高管层时，会围绕着一些负面话题（例如，近期的新闻报道有多么骇人听闻、风险威胁有多么可怕，或者是如果不进行安全建设，将会面临重大灾难）来进行，但这对于获得高管层的支持没有实质帮助。从本质上讲，他们更关注的是业务成果而不是规避风险。因此，讲这些负面信息通常解决不了管理人员内心“纠结点”。

安全建设与商业价值挂钩有什么困难？

虽然高管们对安全风险的了解越来越多，但是安全负责人依然很难找到一个清晰明确、站得住脚的业务案例，来说明进行安全投资是值得的。要向高管层证明安全建设能够实现的效益，安全负责人需要用业务价值来展现，但问题在于：

安全投资很少会直接促成收入增长或成本节约。

大多数企业领导者仍将安全建设成本视为一种虽然必不可少、但又痛心疾首的成本负担，而不是一种商业投资。他们对安全投资的态度通常是：花费的时间和资金越少越好。

要获得高管层的有效支持，就需要阐明信息安全的预期业务收益，这真的很难定义，也很难表达。

总得来说，企业安全负责人在如何制定有效的沟通策略，才能与企业高管层产生共鸣是当前所有安全负责人最头疼的事之一。笔者在之前文章也有所说明，详情可以参考（《避坑指南：安全负责人如何有效向高管层汇报》）。

安全建设与商业价值挂钩的4大策略

策略1：将安全建设与公司目标联系起来

在向高管们汇报，期待获得他们的支持时，安全负责人通常会采用两种方式：一种方式是通过各种数据来说明企业未来的安全状况堪忧。但正如上文所说，高管层更多地是关注实现商业利益，而不是规避风险。另一种方式是用安全投资回报率来介绍安全建设计划，但效果也并不理想，因为对安全建设投资一块钱，未来也不一定能够返还一块钱。

最好的方法就是证明安全建设的业务价值。直接将安全建设与公司目标关联起来，然后向高管层报告安全建设的进展情况可以实现这一点。安全负责人首先应该弄清楚公司要实现的既定目标，并在与高管层进行沟通时提到这些信息，说明安全建设是如何有助于实现这些目标的。安全负责人在介绍安全建设时措辞要准确，明确将安全建设与特定业务计划关联起来。所关联的业务计划重要性越高，就越能向高管层展示安全建设计划的重要性。

例如，某家大型电力公司的安全负责人根据公司方案和发展方向说明，直接将安全计划与业务发展目标联系起来。该电力公司的高管层已经制定了一项五年战略计划，其中包含一些业务指南。CIO根据这些文件来制定了IT战略计划，并从IT角度出发，呼应了许多重要的业务主题。然后，安全负责人根据这些主题和发展计划制定了安全团队的章程、五年战略计划和预算要求。接下来，安全负责人使用高管签字后的安全章程推动安全计划的执行。最后，安全计划的预算和人员都得到了增加，而且还有助于通过重大内部举措来提高风险与安全计划成熟度。http://www.rrbj01.com/