问：向高级管理人员提交的安全报告应该是什么形式？有没有关于安全报告模板的资源？

　　答：我发现，许多高级管理人员往往没有时间阅读关于企业当前安全状况的大量书面报告。事实上，他们只需了解他们应该注意的、即将发生的事件以及最近发生的重要事件。

　　撰写安全报告的首要原则是，大多数高级管理人员都不喜欢大吃一惊，因此安全报告的目的之一就是要尽量减轻管理层的吃惊程度。

　　那么，安全报告应该是什么形式呢？我发现，一份高水平的PowerPoint演示报告是最有效的媒介。我在西雅图港担任CISO（首席信息安全官）时认识到，使高级管理人员注意当前和未来的安全事件非常困难。因此，我设计了一种简单的每周PowerPoint演示报告，其中包括以下内容（通常每张幻灯片一个主题）：

　　封面/标题页——包含报告涵盖的日期（例如，“结果：2010年2月15日~21日”和“计划：2010年2月22日~28日”）。另外，我还在该页上插入信息安全办公室的简单标志以及诸如“信息安全每周报告”这样的标题。记住，C级管理人员通常会看到许多报告，因此不要忘了表明你的报告是针对企业信息安全状况的。

　　未来3个月的重要事件——列出全部重要的事件（例如测试、开会、出差等等），其中要包括你或其他非信息安全工作人员未来3个月要做的工作。

　　结果页——强调上周工作的结果。在本张幻灯片和下一张幻灯片“计划页”（见下文）中，我将信息安排在两个垂直窗格中显示。左边的窗格中是按天/日期的顺序显示上周每天的工作结果（例如，星期一，2月22日）。在每天的工作结果中，列出当天发生的重要事件/召开的重要会议。右边的窗格中是我认为在上一周中重要的事件，例如项目的进展情况、重要的情报（甚至是来自其他公司的情报）等。

　　计划页——其格式与“结果页”相似。

　　需要引起管理层注意和关注的重要事件/问题——将管理层确实应该注意的和可能需要管理层协助的重要事项以标题和下级项目符号的形式列出。

　　我的安全报告模板基本上就是这样。通常情况下，我在星期天晚上准备该报告，以便准备迎接即将到来的一周，并考虑上一周的工作仍然需要采取的后续行动。然后，我将该报告通过电子邮件发送给我的行政管理团队以及其他的主要管理人员，例如网络运营经理。

　　这些报告在进行总结时特别有用，因为它们记录了我所做的工作、取得的成绩和提出的重要问题，从而有助于向管理层证明我的表现。