《企业安全建设指南：金融行业安全架构与技术实践》 —3 安 全 规 划

第3章

安 全 规 划

金融企业信息安全建设中，有一项最基本的东西—安全规划，准备不够充分，就会导致工作千头万绪但收效甚微，也会导致员工起早摸黑却碌碌无为。所谓“凡事预则立，不预则废”，有规划的信息安全，才能忙而不乱，事半功倍。

3.1　规划前的思考

我们会在日常工作中有非常多的时间浪费现象，或者感觉太辛苦。著名企业文化与战略专家陈春花老师曾说过，要常问自己三个问题：

1）你为什么会辛苦？很多人会发现你想做的事情下属没帮你去做。

2）你为什么很辛苦？你发现每一个小时的效率不够。

3）你为什么那么辛苦？是因为你发现很多人做的事情并不真正产生效益。

据史书记载，***54岁去世，***为何英年早逝呢？***以忠君扶蜀为先，把自身的健康放在一边，既不锻炼，又不习武。为了一统天下，***常常要深谋远虑，运筹帷幄。他还习惯于晚睡早起，一生谨慎小心，军中事无巨细，都要事必躬亲，整天弄得精疲力竭。这种身心劳累的负担，年轻时还能应付，一旦过了中年，就会显出快速衰老的征象。据史书载，***的使者到了魏营，司马懿不问军中之事，单问***的饮食起居和工作忙闲情况。使者告诉他，诸葛公向来喜欢晚睡早起，连罚打士兵二十军棍这样的小事都要亲自处理，可早饭却吃得很少。司马懿听后马上得出结论：“亮将死矣!”果然不出司马懿所料，不久在撤退途中，***就忧虑呕血而亡。可见，事必躬亲，对大BOSS来讲，弊大于利。

三个问题，一则典故，反映了很多问题和错误，这些错误显然都不应该发生。但怎么解决呢？这个见仁见智，可以有很多角度的解决方案。但在信息安全领域，首要的解决方案就是做好安全规划。

金融企业战略规划（通常是五年为周期）、IT战略规划（通常三年为周期）、信息安全三年规划、××年工作计划，是自上而下、一脉相承的。负责制订IT战略规划的人，通常会要求企业安全负责人提供信息安全三年规划作为基础材料，统筹而成。能否做一份看起来高大上，实施起来又接地气可执行的信息安全规划，是金融企业安全负责人的必备技能。

信息安全规划，以及在此框架下的年度工作计划，决定了新一年的安全投入，包括人员和资金的预算。而预算的大小，往往和IT战略规划中信息安全相关内容的篇幅形成正比关系。

在信息安全规划编制启动时间点选择方面，建议选择每年10月启动，12月定稿。有的企业喜欢12月启动，春节前后甚至3月底定稿，这样的时间安排存在很大弊端。企业工作中，总结、考核、预算，通常以自然年为单位（大部分金融企业如此，外资企业不同），而企业员工概念中，一年工作结束一般以农历年为单位。因此元旦到春节后，各种年会、总结、庆祝，基本上处于一个工作断档期。规划如果是3月前后定稿，那么和规划相关的重点项目的资源准备，如合作厂商技术交流测试、项目采购等，就会浪费自然年的第一季度。如果每年10月启动，12月定稿，就可以利用元旦到春节前后的时间，进行规划相关项目、资源的准备工作（比如，采购文档编制、采购流程发起、新招人员面试笔试等），春节后就可以开足马力，立刻开干。

安全规划考虑的因素，除了时间外，还应该考虑监管要求、企业风险偏好、IT战略目标、技术发展、资源约束、安全价值体现等，此处就不一一展开了。

通用安全 金融专区

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。