根据本人自身多年的工作汇报经验，一篇正式的安全建设汇报材料应该包括安全背景、建设思路、建设内容和投资估算等内容。

1 安全背景

安全背景一般需要编写一些吓唬人的内容，目的是让客户觉得安全建设很重要，如果不做会影响到大领导的升迁，自上而下的工作推进比自下而上的工作推进容易一万倍，大致可以通过编写以下内容来提升安全紧迫感：

（1）法律法规要求：上来不管三七二十一先展示国家层面对网络安全的要求，什么三法一保护（《网络安全法》《数据安全法》《个人信息法保护》和《等级保护》），在大层面首先提出国家层面的要求，并且表明企事业单位“一把手”是网络安全的首要负责人。但是这块内容目前客户听的比较多了，稍微带过即可，不应该作为重要的内容，除非客户是刚接触安全，因为这块内容各厂商已经宣贯的很彻底了。

（2）安全场景要求：你一定要知道客户一定是比你更懂他们的网络安全情况、上级单位要求、领导的支持度等问题的，所以这块应该做的是抛砖引玉，也就是提点同级或上级单位存在的业务场景的安全问题，

（a）比较典型的攻防演练安全场景，在国HVV开展在即，各地方上级单位或者自身单位都或多或少开展了下级的攻防演练，因为攻防演练的特性是自由行攻击的，针对的是企业的短板进行攻击的，或多或少都会存在问题，不妨按照此思路来进行编写，比如我之前写过的一个案例，我们作为其上级单位的攻防演练的攻击方，可以隐晦地告知客户如何防守是有效的；

（b）另外一个安全场景是有通报的安全场景，比如企业A因为泄露个人信息被网信办、网安进行通报，可以针对此安全场景举例进行说明后续的影响，重点说明被通报的影响；

（c）还有一种通用的就是广撒网的方式，专业安全人员少（不管人员配备的如何完备都是缺少的）、管理流程制度缺失（如果有网络安全的管理制度，那也有可能没有数据安全的管理制度）、人员培训不够充分（内部安全专家培训、以及外部专业第三方专业团队培训）、应急响应机制不完善（没有应急响应预案、应急预案没有使用等），万金油的问题基本都会命中客户的一些困难点；

（3）新技术发展要求：目前车联网、云、大数据技术在越来越多的企业应用，因为和传统IT建设有差别，相对应的安全建设也会存在差别，比如云的建设是需要基于云基础继续设计，大都是是考虑建设安全资源池来进行统一建设，比如大数据的安全建设，需要考虑数据的全流程建设，而且必须要考虑和数据中台进行紧密的结合。

如何抓住用户的心智，就在于我们介绍的方案是否符合客户的现状，是否能够让用户感受到你是懂他们业务的，所以不一定需要追求在技术底层上的突破，更多地是要考虑如何让客户听的懂。

2 建设思路

建设思路一般情况下是按照安全业界的标准框架进行修改设计的，目前见到比较多的设计是NIST CSF2.0、信通院的数据安全框架。在这里主要考虑的就是画一个整体的安全框架，熟悉的人员可以通过这个框架介绍本次方案的全部内容，这个其实就是本次我们为客户介绍的整个思路，好的框架可以帮助客户快速了解我们的能力，但是切记不要直接抄别人的框架，一定要融合自己的特殊，否则有时候遇到客户见过的就很尴尬。

（1）NIST CSF 2.0：

（a）Identify：评估风险。包括：确定业务优先级、风险识别、影响评估、资源优先级划分；

（b）Protect：保证业务连续性。在受到攻击时，限制其对业务产生的影响。主要包含在人为干预之前的自动化保护