► 安全总结需要多面性，人、组织、流程、措施等，哪个方面不总结下都觉得缺点啥，总结更像是一个学习完善自己的过程。总结还包括对既定计划的验证和差异性分析，总结正向偏差，分析负向偏差。

► 总结应突出安全成绩，剖析存在的问题，明确未来建设的目标，梳理好卖力干过的、在干的、将要干的事。总结就是定期更新完善的过程，完善知识框架，安全体系，流程制度，从个人到公司，需要持续不间断。

► 总结常规思维应该算事后，对上一阶段的工作过程和成效汇总提炼。安全意义的总结更广义，还需要把规划列入总结的一部分，将总结延伸至事前。从关键业务和重点事件总结分析，分析资源分配的合理性，需遵从二八定律，让优秀资源赋能核心业务。

► 法律法规大年，得梳理下前期解读的成效，总结下多少要求和条款已落地，先把合规基线这关过了。总结应该形成习惯和氛围，会议可以适当砍掉，总结的工作不能省，不总结应该是惰性。年终总结需要客观，结合实际，内容扎实，否则意义不大。

► 通过推进针对软件生命周期进行全流程安全管控的落地实践，有助于从软件生命周期的源头保障软件供应链安全。通过建立软件开发过程中保证软件供应链安全的体系化方法，为软件开发过程中尽可能避免和消除软件的安全缺陷、保证软件供应链安全奠定重要基础。体系建设是安全建设的第一步，总结从这里开始。总结的第二方面，今年的安全风险趋势是怎样的，有什么需要特别关注的新的风险领域和技术的出现。总结第三方面，今年都遇到了哪些安全事件，如何处置的，是因为现有体系中的哪个部分有缺陷导致的事件。第四部分，总结在管理方面的工作，包括制度建设、流程合规、组织架构优化。总之非技术性的工作内容之汇总。第五部分，技术管控，安全技术的数字化和自动化是实现安全管控的必要条件，总结技术实现项目的落实情况以及管控效果，充实安全管理的技术手段。第六部分，安全检测与评估，检测与评估是对已完成工作的整体评价以及效果检验，总结该内容可对整体目标进行再确认和复核。第七部分，预算执行情况，这个部分是和年初项目规划匹配来看的，年初的预计目标有没有达到，有哪些偏差和经验都需要总结。总结要从领导层面看待整体安全工作，花了钱办了哪些事，降低了哪些风险，解决了哪些事件，发现了多少问题。总之一句话这些钱花了值了。

► 归根到底安全服务于业务，提供支撑业务的安全处理以及安全控制能力更容易被企业理解和接受，因此总结应该从业务视角出发，体现安全的价值。今天在汇总企业年度工作报告，其中信息安全建设的内容属于大标题下，一级小标题的其中一小点，大约300字。这已经是企业报告中唯一一个被点出来需要单独阐述的工作的部分，也许安全工作不那么显山露水，但其重要程度已经在这俩年工作报告中显现出来了，作为安全人感到骄傲的同时也感到责任和压力！

► 从受众，目的，陷阱避免，内容框架三个层面总结了一下自己的经验，也算是个阶段性总结。为什么把受众和目的写到第一部分，是因为太多直奔主题的例子，写给谁看，为了啥搞不清楚的案例，没有这两个方面的思索，年终总结容易沦落为流水账。年终总结避免的3个陷阱和日常技术人员思维误区相关，数据的无效无关，概念缺少事实，卖弄技术得过于专业，要谨记避免。年终工作总结的框架首先在规划回顾开始，相对于规划阶段的模糊和不确定性，一年的实践对规划的前瞻性和误区进行复盘，是理清思维，总结经验教训的良机，需要放在首位。年终总结的第二项内容是价值分析，价值分析不是做了什么事，而是做的事对公司战略和业务的正面影响，是从战略和业务的角度解读安全的价值，这一点重要的是要具备全局性思维和懂得战略与业务的语言。年终安全工作总结的第三块内容是差距分析，针对实际的风险状况，评估安全策略的有效性与不足，对安全策略的优化调整，能力建设的差距进行梳理，为后续的改进提供基础。