CISO参考：企业如何做好信息安全规划Word格式文档下载.docx

1、2、规划的高度横向上， 要与行业情况进行对比。例如规划安全人员规模时， 需要了解所在行业 IT 技术在公司里占比多少？ 制造业， 可能就 1%-2% 之间，但如果是高密度行业应该大于 3%。如果 IT 技术人员占比增长时，安全人员占比却没有增长， 就需要反思是哪里出了问题。同时，在现有比例下我们应该做些什么？纵向上， 要对技术或趋势具备前瞻性， 考虑其对 IT 架构变化带来的影响， 要思考如何提前应对这些技术变化带来的安全影响。举个例子， 2020 年 SolarWinds 事件，从研发人员到供应链， 如果我们遇到应该如何处理？网络安全只做常规的事情是不够的，我们应该做一些超越常规的事情， 敢

2、于挑战。3、规划的方法论和框架编写规划的过程中， 通常可以按照以下步骤进行展开：（1） ） 识别客户和对手（ 威胁）；（2） ） 了解客户的需求；（3） ） 定目标、价值、定位；（4） ） 分析现状、差距、原因；（5） ） 风险和需求评估；（6） ） 制定实施计划。在每一个步骤中都有通用的分析框架可以参考。借助成熟的框架开展系统化梳理， 避免遗漏重要内容。针对规划的不同环节， 有不同的分析框架。例如定目标时可以使用“ 网络安全滑动标尺模型”， 做风险评估时可以参考 ISO27001 、NIST RMF， 在做攻防对抗能力建设时可以参考 ATT&CK， 做纵深防御可以参考 PPDR。框架繁多，要

3、清晰的认识到， 所有的模型、框架都是我们用来完整呈现自己思路的工具， 能够逻辑自洽即可。4 、现状和差距分析这就绕不开信息安全驱动力的问题了。通常情况下，信息安全的驱动力来自于四方面： 合规驱动 事件驱动 业务驱动 自我驱动在做现状分析时， 大家往往是基于合规和事件的视角， 对业务视角分析不多。例如， 某份规划中， 从讲述中得知分行似乎有自己独立开发的业务， 但材料中对分行业务发展的理解没有展示，那么安全对业务支撑有哪些？ 需要将这些支撑点予以展开，把工作做实做细。对于分支机构， 在合规工作上， 要将必做的事情和总部予以区分。在做差距分析时， 很多时候问题的落脚点是人员不足。某大型制造业公司，

4、整个安全团队只有 6 个人，安全团队人数不但没有随着业务增长， 反而在缩减。要去分析一下为什么是这个现状，和公司管理层要有沟通， 确定是否是领导层没有认知到问题的严重性。5 、实施路径通过比对发现了差距，识别出一系列信息安全任务，接下就需要设定可行的实施路径。对于路径， 可以按年为周期，在内部细分出半年度、季度、月度等。也可以年为单位， 进行滚动更新。这其中要注意，规划的任务项中要添加 top 级的工作任务， 然后配置相应的资源来集中解决， 例如成立攻击战队。同时，这个滚动表需要向上抽象出一些任务，便于内部汇报。二、常见问题1、高度与深度从本次的诊断会内容来看，对技术或趋势的发展， 对 IT

5、架构变化带来的影响， 还缺乏前瞻性。在规划编制中， 要思考如何提前应对这 些技术变化带来的安全影响， 否则安全工作将会持续处于被动状态。在具体规划内容中， 汇报人给出了部分网络拓扑、安全防护方案， 这里举两个存在问题的例子： 某单位给出了网络拓扑。首先测试业务出口太重载，可能无法落 地； 其次边界实现不太清楚， 例如公有云接入后你是否会参与管理？ 如果核心的一些数据上传到云上， 那么架构应该如何做？ 某单位的分模块规划中有多项问题。比如有一项工作重点是抗DDoS。提到了购买抗 D 设备，但其实这个效果是递减的， 花大力气在抗 D 上可能不太值得；再比如，在工控上的举措投入产出比可能也不是很理想

6、， 防火墙之类起到的作用有限， 对主机可能有用，但是服务器不一定，需要一些其它安全防护策略；2 、规划内容过于技术化多位汇报人的材料， 一上来就谈到各个具体的模块，进入技术点的陈述。没有事先建立一副全局视图， 从多个维度介绍规划的总体目标， 尤其是缺乏业务需求的驱动点。3、心态问题在讲述过程中情绪较为负面。负面情绪可能来自于多个方面， 比如： 对资源不足的无奈。如公司薪酬不具备竞争力，无法吸引到优秀人才，或者无法留住优秀人才。 认为领导不够重视。如公司在流程制度建设方面不重视，导致某些工作推进困难。在汇报过程中一定要采取正面的情绪，否则只能得到更糟糕的结果。4、逻辑性问题逻辑是汇报的“ 纲”。

7、纲不举，目不张。如果汇报材料逻辑混乱， 很可能遭受领导挑战。例如某份规划在开篇部分提到了 2020 年成果，其中重点提到了抗疫工作。但是后文中， 抗疫和业务贴合得并不紧，这中间逻辑不连贯。5 、集团内部规划对齐对于集团公司的子公司， 报告中缺乏顶层规划，你的安全团队、子公司的安全团队、总部安全团队的整个分工没有交代清楚。6、规划的内容过于理想化对于某些目标的设定，因为缺乏经验， 可能导致难以达成。举个例子：某公司设定的度量指标中，微软补丁更新率为 100% 。要知道， 即便微软公司自己， 补丁更新率也只有 90%。更新率 100% 不是不能达到，要看情况， 服务器和应用少可以。有些例如工控补丁

8、是打不上的， 这类又应该如何处理，可能需要用别的策略规避。7、规划内容太虚画了一个大饼，看起来目标很远大，但是怎么达成呢？ 语焉不详。对于领导、听众来说，具体的安全工作与他们本身工作之间找不到锚点。例如： 某单位计划安全团队在 2023 年要达到 B、B-，即二线安全公司的攻防能力水平。但是如何实现， 需要多少资源投入， 如何度量能力水平等， 却没有进行细化。与此同时， 前面汇报的内容给人感觉就是，以现有的人力、公司政策，很难实现。8、忽略团队内部诉求规划是讲给“ 上面” 的， 也是写给“ 下面” 的。在做好向上管理、业务诉求管理的同时，更不要忽略了团队成员的“ 需求”，毕竟，团队的每一个人与

9、你， 才是最终的执行者。规划的内容明显超出了团队的承受能力，在执行过程中势必会怨声载道。规划的内容明显低于团队承受能力，会让 团队得不到充分锻炼，也可能让成员觉得负责人不思进取， 或者业务不精、视野狭隘。三、优秀案例四、补充建议1、做安全就是讲故事，安全规划/计划就是讲故事的主线，安全 团队就是故事的主人公，安全团队日常工作的预防风险、解决问题等等就是故事的情节。讲故事讲的好要吸引领导，安全 规划作为主线要清晰明了，安 全团队作为主人公要个性鲜活有血有肉，日常安全工作作为故事情节要节跌宕起伏、可圈可点。所以， 安全规划怎么能做好？ 这个问题实际就是： 怎样讲好一个安全团队成长的故事？ 今天各位

10、嘉宾的规划里都有主线， 虽然有的不够清晰；也都有主人公，但多数缺少配角和情节。要有目标， 有优先级，有步骤，有顺序。规划主线可以高高飘在天上（ 务虚可以高大上），但主 角和配角要说清（ 安全和其他团队怎么分工协作），情节要落地（ 项目目标和过程优先级要靠谱可操作）。 规划保守一些，故事的前中后 3-4-3 阵型，虚虚实实，多数 领导都百搭。规划想激进一些用5-4-1 阵型，虚的多点，后盘不稳，可能领导听的嗨但执行难落地。规划从来不是务虚，是实打实的，之所以虚，是情节不够细腻不够煽情（ 后续需要落地的项目讲的不够透，不够让领导明白） 。故事不光要有逻辑，还是 要适合听众。大多数高层在自己不懂的领

11、域，是靠严谨的逻辑判断来做决策，这个情况多适用于大公司。对于中小公司来说，领 导本身的嗅觉也不一定强，有时 也不一定有很强的逻辑判断能力， 也会因为信任， 用人不疑， 尊重专业等等因素， 来做决策。所以，有的安全团队故事讲得不漂亮，领导出于对负责人的信任，不疑和尊重， 也会给资源。2、做规划还是要层层分解， 安全规划是企业战略规划的更下层分解。给更上层领导汇报规划， 就是要让 TA 了解， 你正确理解了他所面临的问题，你的工作内容能帮到 TA 实现 TA 的目标，并且要用 TA 能听得懂的话来讲。更高层的领导不是什么都懂，那么他们凭什么来把控全局？ 大多数是靠逻辑，当汇报内容逻辑性经不起挑战的

12、时候，汇报就是失败的。比如分行领导， 他关心的首先是分行的业务怎么做好， IT 是支撑业务的， 安全也是业务的保障，“业务” 是他最关心的事情，安全 工作如果和业务发展建立强关联， 就容易得到支持。如果规划得不到上级批准，分配不到资源，得不到支持，安全团队在组织内部会寸步难行。但是规划不能搞的太美好，否则交付不了，安全团队的信誉就会被消耗，今后的规划就更难以获得批准。3、一场暴雨很难解决问题， 认知很难一次对齐。一次规划汇报解决不了问题，要有润物细无声的渗透能力。能落地的规划才能算是好的规划。另外，我们 不能根据现有的人力资源去做规划，不能 说有多少人办多少事，这点 很认同。只是往往规划喊出去了，人没招到。在人才招聘这一方面有什么好办法吗？问题如何解决：给合适的待遇，或合适的事业平台，或合适的团队（ 待遇留人，事业留人，感情留人） ；校招培养； 外包补充；从研发运维挖人；群内群友互帮互助， 互通消息， 为优秀的人背书， 给优秀的人更多机会；跟 HR 争取， 降低招聘门槛。