上QQ阅读APP看书,第一时间看更新
3.2 规划框架
安全规划的框架,应包括概述、需求分析和安全目标、各个安全领域的现状和差距分析、解决方案和计划、安全资源规划、当年重点项目和重点任务、上一版安全规划目标差距分析等。以下是安全规划的框架示例,如图3-1所示。
图3-1 安全规划框架示例
概述部分主要包括信息安全形势分析,安全形势可以是外部安全形势、行业形势、监管和股东要求、对手分析(攻击者、内部异常员工)等。
安全目标是指规划周期结束组织应该达到什么样的信息安全水平。安全目标应该是跳一跳,拼命奔跑才能达到的,甚至是很大概率达不到的,而不应该是躺在床上就能实现的。
对现状和差距的分析相当于自我体检,最重要的是能从过往的安全检查中分析管理差距,以及从白盒检测、黑盒检测失效中获得技术差距。其中黑盒检测有两大利器,即安全众测和红蓝对抗,能够先于对手发现自己的漏洞和弱点,对这类检测失效的原因进行深挖,是差距分析的重点。
解决方案和计划,解决方案提出的一条条解决措施,最终要落到重点项目和任务上去实现。计划分解的频度方面,当年的至少细化到月,未来两年的细化到季度即可。
当年重点项目和重点任务,是解决方案落地的关键,当年的工作目标靠重点项目和重点任务实现。差距、解决方案、重点项目和任务、计划要形成一系列有继承关系的完整链条,才是可落地的整套规划。项目和任务的区别是,项目比任务要大和复杂一些,任务属于优化改进的小措施,项目通常是要立项和花钱的,如图3-2所示。
图3-2 安全规划落地示例
上一版安全规划目标差距分析,是针对上一阶段的规划执行情况进行回顾和检讨,排查实际完成效果与规划目标的差距,分析造成差距的原因,避免新规划执行过程中重蹈覆辙;分析后认为需要调整或补充执行的内容,放入新的规划中落地。