不知是否有读者和笔者一样,在编写规划的过程中,曾被类似下面的问题困扰:
1、我写的这些项目,是领导关心的吗?
2、如果领导关心,项目之间的优先级是否正确?
3、规划坐的会不会太保守,被批评没魄力?
4、太有魄力,又担心写的太虚,落不了地怎么办?
5、规划的方法论、逻辑,是否严谨?
6、同行规划怎么做的,谁能给个参考?
**规划是向上汇报的捷径。**规划写不好,领导看不懂,预算难申请,项目怎开展?
**规划也是内部管理的良方。**分析当前形式,明确当前位置,知道未来方向,凝聚团队共识。
如果团队成员连自己在做的事情都无法清晰理解,就极其容易陷入一种不知道方向何在的迷失中去——他可能根本不知道自己除了手边那些琐碎的工作还需要去思考什么,还需要积累学习什么,以及未来你的方向何在。
规划如此重要,在企业信息安全建设实践中理应占据重要位置,但群内鲜有讨论。即便有,也多是对某类技术、合规要求的泛泛讨论,只能算是隔靴搔痒,毫不过瘾。究其原因,可能是因为规划具备以下几个属性:
- **敏感属性。**一些具体的项目计划,不希望被外界知道,免得扰乱后续采购工作。
- **业务属性。**规划与需求相关,要想说清楚规划制定的逻辑,就不可避免的涉及到业务背景,能否对外介绍,拿捏不准。
**- 定制属性。**受制于企业类型、组织成熟度、负责人能力、团队规模等因素,信息安全规划很难横向比较。
以及,对自身规划的不自信。互联网的安全规划比制造业高大上?金融的规划比能源企业全面先进?
总结下来,要想做好信息安全规划,放心的讨论信息安全规划,需要解决几个问题:
1、建立合理的框架 (逻辑自洽)
2、具备管理者视角 (站在CIO、业务视角)
3、提供安全的环境 (不要搞产品推销,参会人员大胆讨论)
为此,“金融业企业安全建设实践群” 想进一步,和大家一道,从源头做好信息安全工作,特开展 2020年新春务虚会活动。名为务虚,实为务实。
本次活动,将以创新的形式试图解决以上提到的诸多问题:
1、三家企业上台分享自家规划 (报名中,报名方式详见海报)
2、圆桌形式开展讨论,每桌有一名老司机指导,对规划进行修改。
3、修改完成后,立马开展第二轮汇报,由大咖现场指导。(谭校长亲临现场、某金融机构CIO、某券商CIO)
4、新技术应用企业现场进行DevSecOps、ATT&CK介绍,以及如何以HVV为契机推动信息安全的长期发展。
(注:如因疫情原因,务虚会时间如有变化,将会在群内通知)
最后笔者想说,结合企业实际来讨论安全规划才有意义,所谓“鞋子合不合适,只有脚知道”。
希望本次活动得到大家的大力支持,也希望能给大家的工作带来实际帮助。