《企业安全建设指南:金融行业安全架构与技术实践》 —3 安 全 规 划

网友投稿 772 2022-05-30

第3章

安 全 规 划

金融企业信息安全建设中,有一项最基本的东西—安全规划,准备不够充分,就会导致工作千头万绪但收效甚微,也会导致员工起早摸黑却碌碌无为。所谓“凡事预则立,不预则废”,有规划的信息安全,才能忙而不乱,事半功倍。

3.1 规划前的思考

我们会在日常工作中有非常多的时间浪费现象,或者感觉太辛苦。著名企业文化与战略专家陈春花老师曾说过,要常问自己三个问题:

1)你为什么会辛苦?很多人会发现你想做的事情下属没帮你去做。

2)你为什么很辛苦?你发现每一个小时的效率不够。

3)你为什么那么辛苦?是因为你发现很多人做的事情并不真正产生效益。

据史书记载,***54岁去世,***为何英年早逝呢?***以忠君扶蜀为先,把自身的健康放在一边,既不锻炼,又不习武。为了一统天下,***常常要深谋远虑,运筹帷幄。他还习惯于晚睡早起,一生谨慎小心,军中事无巨细,都要事必躬亲,整天弄得精疲力竭。这种身心劳累的负担,年轻时还能应付,一旦过了中年,就会显出快速衰老的征象。据史书载,***的使者到了魏营,司马懿不问军中之事,单问***的饮食起居和工作忙闲情况。使者告诉他,诸葛公向来喜欢晚睡早起,连罚打士兵二十军棍这样的小事都要亲自处理,可早饭却吃得很少。司马懿听后马上得出结论:“亮将死矣!”果然不出司马懿所料,不久在撤退途中,***就忧虑呕血而亡。可见,事必躬亲,对大BOSS来讲,弊大于利。

《企业安全建设指南:金融行业安全架构与技术实践》 —3 安 全 规 划

三个问题,一则典故,反映了很多问题和错误,这些错误显然都不应该发生。但怎么解决呢?这个见仁见智,可以有很多角度的解决方案。但在信息安全领域,首要的解决方案就是做好安全规划。

金融企业战略规划(通常是五年为周期)、IT战略规划(通常三年为周期)、信息安全三年规划、××年工作计划,是自上而下、一脉相承的。负责制订IT战略规划的人,通常会要求企业安全负责人提供信息安全三年规划作为基础材料,统筹而成。能否做一份看起来高大上,实施起来又接地气可执行的信息安全规划,是金融企业安全负责人的必备技能。

信息安全规划,以及在此框架下的年度工作计划,决定了新一年的安全投入,包括人员和资金的预算。而预算的大小,往往和IT战略规划中信息安全相关内容的篇幅形成正比关系。

在信息安全规划编制启动时间点选择方面,建议选择每年10月启动,12月定稿。有的企业喜欢12月启动,春节前后甚至3月底定稿,这样的时间安排存在很大弊端。企业工作中,总结、考核、预算,通常以自然年为单位(大部分金融企业如此,外资企业不同),而企业员工概念中,一年工作结束一般以农历年为单位。因此元旦到春节后,各种年会、总结、庆祝,基本上处于一个工作断档期。规划如果是3月前后定稿,那么和规划相关的重点项目的资源准备,如合作厂商技术交流测试、项目采购等,就会浪费自然年的第一季度。如果每年10月启动,12月定稿,就可以利用元旦到春节前后的时间,进行规划相关项目、资源的准备工作(比如,采购文档编制、采购流程发起、新招人员面试笔试等),春节后就可以开足马力,立刻开干。

安全规划考虑的因素,除了时间外,还应该考虑监管要求、企业风险偏好、IT战略目标、技术发展、资源约束、安全价值体现等,此处就不一一展开了。

通用安全 金融专区

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:步步莲花--Scrum团队敏捷需求实战案例
下一篇:北京金信安入驻华为云市场,助力业务上云。
相关文章