第2章　制定安全预算

等到线上的业务基本被评估完一轮，基础的安全监控和审计体系运转起来的时候，大半年已经过去了。随着M公司安全事件的稳步减少，我知道，“救火”阶段熬过去了！

我不再需要每天为了处理各种安全事故焦头烂额，自然也就有了更多的时间去发掘那些更深层、更隐蔽的安全风险，同时有了更多的精力去思考如何建设更全面、更体系化的安全防控机制。

有一天，CTO把我叫到了他的办公室。

Q 王总：小陌，经过你的努力，公司已经有一段时间没有出现过重大安全事故了，我和公司各个层面对安全方向的工作非常认可，也希望你能再接再厉，把我们公司的安全体系做得更加坚固和完善。年底就要上报明年的团队预算了，这两周你认真考虑一下，把与安全相关的预算做出来，然后我们一起过一下。

A 马小陌：谢谢王总的认可。对于安全这块，明年您有什么期望吗？

Q 王总：我希望通过明年的工作，安全这块不要再出事故。

A 马小陌：王总，完全实现这个目标需要投入巨大的资源，尤其是在一些影响比较小的问题上，ROI（return on investment，投资回报率）会特别低。要不我尽快草拟一版风险、成本和收益比较平衡的预算，您先看看是否合适，我再根据您的要求调整？

Q 王总：可以，就这么办吧。

小贴士

如果安全负责人向更高级的管理层了解他们对安全工作的期望，那么“不出问题”是一个非常普遍的回答。从他们的角度来说，既然在安全上投入了资源，“不出问题”就是一种合理的诉求。面对这种期望，有相当一部分安全负责人会给出类似“没有绝对的安全”这样的回答。这类回答在道理上是对的，但对方不一定听得进去，很容易引发后续的低效沟通甚至心理上的冲突。

实际上，层级越高的管理者，越关心业务整体ROI，简单地说，就是付出尽可能少的成本，获取尽可能多的收益。所以，安全负责人应该尝试换一种他们听得懂、听得进去的表达方式去沟通——为了支持业务的正常发展，至少需要做哪些安全工作，做到这些在各方面需要多少投入。