何时

　　至少每年反省一下你对业界的观点、见解和看法。

　　何因

　　安全管理人员应该保持乐观的态度，并随时准备好投入工作。

　　策略

　　没有特别排序，这是我在政府和企业从事安全工作18年来的经验总结。

　　1.时不我待－不要总是细想该如何开始－你只需确定最重要的首先要做的事情：

　　a.你永远不可能有足够的金钱、时间、硬件、软件、技能和人手来开展工作。
　　b.你总是处于进退两难的安全困境中：如果没有什么安全事故发生，不一定表示你的安全管理工作很有成效。如果有安全事故发生，难道归咎于没有足够的投入？管理层绝对不满意这样的解释，你集合手下的安全工作人员等着一起挨批吧！

　　2.每年至少参加两次培训；你应该在应聘安全工作岗位时提出这项要求，如果你们公司不提供这种培训，那么你就自己掏钱参加培训。

　　3.密切跟踪预算的投入情况，并按照预算计划工作。

　　4.当你知道自己缺乏某方面的知识，并对由此产生的结果感到担忧的时候，自己就会产生压力——所以你应该弄明白自己欠缺哪方面的知识并主动学习。另外不要购买专业学科的书籍，而是买相关学科的概论性的书籍，这样你就只需要研究某一个章节。它的总结概括将给你的工作一些指导性的意见。

　　5.确保你们企业招聘的法律顾问对计算机方面的法律问题有一个清晰、全面的理解，如果你们公司的业务还包括网上金融交易，他们应该对外国的隐私法有所了解。

　　6.牢记：系统或数据并不归你所有——你只是有责任保护它们的安全。

　　7.确保安全部门在整个组织结构层次上离决策层尽量近，并保证最大限度的政策强制执行力度。

　　a.如果公司被指控发动网络攻击，那你应该首先看看自己是否负有责任。
　　b.确保管理层书面表示在资金上支持你的安全部门，并合法地支持你的工作。如果不能保证的话，那么你最好准备离开这家公司。

　　8.“试运行90天”，如果你准备引进一项新的工作流程，那么你可以利用这个方法消除大家的怨言并努力促进新工作的开展。一般来说，每一个人到那时候都会习惯这项工作流程不再会介意。即使这项工作流程确实不受欢迎，管理层也能容忍试运行带来的后果。

　　9.要在组织内部经常露面。久而久之，人们就会觉得你很平易近人，如果大家都知道你在掌管安全事务，那就会使安全工作不那么费劲。

　　10.合理分配时间和清醒的头脑是成功的关键因素：

　　a.委派代表——花费时间培训一些助手来帮助你开展工作，你会得到10倍的回报。
　　b.你应该辨别哪些是可以转包的短期项目，哪些是需要招募职员的长期项目。
　　c.将你的“信息渠道”限制在五个。我的意思是：你应该只从五个最喜欢的组织或网站订阅杂志、自动更新的邮件等。安全行业内部的信息共享将使你了解到最需要的信息。