Question

我们会在日常工作中有非常多的时间浪费现象，或者感觉太辛苦。著名企业文化与战略专家陈春花老师曾说过，要常问自己三个问题：

1）你为什么会辛苦？很多人会发现你想做的事情下属没帮你去做。

2）你为什么很辛苦？你发现每一个小时的效率不够。

3）你为什么那么辛苦？是因为你发现很多人做的事情并不真正产生效益。

据史书记载，诸葛亮 54 岁去世，诸葛亮为何英年早逝呢？诸葛亮以忠君扶蜀为先，把自身的健康放在一边，既不锻炼，又不习武。为了一统天下，诸葛亮常常要深谋远虑，运筹帷幄。他还习惯于晚睡早起，一生谨慎小心，军中事无巨细，都要事必躬亲，整天弄得精疲力竭。这种身心劳累的负担，年轻时还能应付，一旦过了中年，就会显出快速衰老的征象。据史书载，诸葛亮的使者到了魏营，司马懿不问军中之事，单问诸葛亮的饮食起居和工作忙闲情况。使者告诉他，诸葛公向来喜欢晚睡早起，连罚打士兵二十军棍这样的小事都要亲自处理，可早饭却吃得很少。司马懿听后马上得出结论：“亮将死矣！”果然不出司马懿所料，不久在撤退途中，诸葛亮就忧虑呕血而亡。可见，事必躬亲，对大 BOSS 来讲，弊大于利。

三个问题，一则典故，反映了很多问题和错误，这些错误显然都不应该发生。但怎么解决呢？这个见仁见智，可以有很多角度的解决方案。但在信息安全领域，首要的解决方案就是做好安全规划。

金融企业战略规划（通常是五年为周期）、IT 战略规划（通常三年为周期）、信息安全三年规划、××年工作计划，是自上而下、一脉相承的。负责制订 IT 战略规划的人，通常会要求企业安全负责人提供信息安全三年规划作为基础材料，统筹而成。能否做一份看起来高大上，实施起来又接地气可执行的信息安全规划，是金融企业安全负责人的必备技能。

信息安全规划，以及在此框架下的年度工作计划，决定了新一年的安全投入，包括人员和资金的预算。而预算的大小，往往和 IT 战略规划中信息安全相关内容的篇幅形成正比关系。

在信息安全规划编制启动时间点选择方面，建议选择每年 10 月启动，12 月定稿。有的企业喜欢 12 月启动，春节前后甚至 3 月底定稿，这样的时间安排存在很大弊端。企业工作中，总结、考核、预算，通常以自然年为单位（大部分金融企业如此，外资企业不同），而企业员工概念中，一年工作结束一般以农历年为单位。因此元旦到春节后，各种年会、总结、庆祝，基本上处于一个工作断档期。规划如果是 3 月前后定稿，那么和规划相关的重点项目的资源准备，如合作厂商技术交流测试、项目采购等，就会浪费自然年的第一季度。如果每年 10 月启动，12 月定稿，就可以利用元旦到春节前后的时间，进行规划相关项目、资源的准备工作（比如，采购文档编制、采购流程发起、新招人员面试笔试等），春节后就可以开足马力，立刻开干。

安全规划考虑的因素，除了时间外，还应该考虑监管要求、企业风险偏好、IT 战略目标、技术发展、资源约束、安全价值体现等，此处就不一一展开了。