前言

在甲方工作已经有些年头了，越来越发现甲方与乙方的工作方式存在巨大的区别。在乙方时说的最多的就是技术层面的各种问题，倾向于用技术可以解决问题，然而真正的进入到甲方才发现，技术只是其中很少的一部分，甲方面对的是一个很复杂的环境，很多时候技术并不是解决问题的最好方案，因此需要从其它的方面去解决问题。

结合目前的工作现状，简要总结一下在甲方如何整体的去做安全，做一份有体系的安全规划。领导的要求往往是不发生安全问题，但是做安全的我们知道绝对的安全是不可能实现的，我们能做的就是以最小的投入将安全控制在一个可控的范围内，而不是去追求绝对的安全。

企业为什么突然要做信息安全？

发展中的企业突然要开始安全建设，一般是受下面的三种原因驱动的？

1）合规驱动

自2017年6月1日《网络安全法》出台之后，对于网络安全有了明确的规定。在企业发展到一定的规模以后，就必须要考虑合规的问题。

2）事件驱动

公司发展过程中遇到了实际的安全问题，如遭受DDOS攻击，公司数据被窃取。因此企业需要安全人员来解决这些问题。

3）自我驱动

公司领导对安全有足够的了解，认为安全也是产品的竞争力，在企业发展到一定的规模以后，自愿投入一定的资源去做安全。

建设为什么需要规划

在企业的信息安全建设方面，真正进行安全规划的企业并不多，大多数仍属于“事件驱动”和“项目驱动”型建设。发生信息安全事件后才进行信息安全的资源投入建设，在建设时又由于项目目标需求明确和事件急迫，仓促上马，而忽略对体系化的针对性考虑和设计。抑或是无战略目标规划，依靠接受外部市场引导，盲目进行项目化建设，单单以信息安全产品、服务进行堆砌，见火扑火，一叶障目缺少全局观。最终导致信息安全无法对业务、风险合规等提供有效支撑，在企业中仅仅成为救火部门，难以体现其价值，而信息安全建设各自独立分散，无法形成体系化。

要建立体系化的安全，就需要对整体的安全进行规划，有目标有计划的去实施安全建设。

规划的一些准则

1）安全是为业务发展服务的，不能喧宾夺主，安全建设的方案设计需要考虑业务生产的实际需要。安全与业务发展需要找到平衡。

2）规则要与公司的实际情况相结合，不能盲目的追风业内的最佳实践，这种实践并不一定适合目前的企业。

3）不要去追求绝对的安全，要在有限的资源下将风险控制在可接受的范围内，也就是我们常说的追求ROI

4）安全要自上而下的推动，同时，与业务部分应该是合作的模式。

5）企业安全中不能仅仅依靠技术，要技术，管理齐头并进

6）对关键业务和对业务影响最大的风险能做到覆盖

7）措施实施容易落地，避免假大空和只有在安全基础非常扎实的情况下才能实现的设计

规划的思路

信息安全是由多方面组成，主要工作需要防范威胁发生的可能，以及采取风险降低措施，因此安全工作开展涉及多方面的内容：

技术，合规，管理三者要相互协作，不能仅仅依靠某一方面。