Question

安全规划的框架，应包括概述、需求分析和安全目标、各个安全领域的现状和差距分析、解决方案和计划、安全资源规划、当年重点项目和重点任务、上一版安全规划目标差距分析等。以下是安全规划的框架示例，如图 3-1 所示。

图 3-1　安全规划框架示例

概述部分主要包括信息安全形势分析，安全形势可以是外部安全形势、行业形势、监管和股东要求、对手分析（攻击者、内部异常员工）等。

安全目标是指规划周期结束组织应该达到什么样的信息安全水平。安全目标应该是跳一跳，拼命奔跑才能达到的，甚至是很大概率达不到的，而不应该是躺在床上就能实现的。

对现状和差距的分析相当于自我体检，最重要的是能从过往的安全检查中分析管理差距，以及从白盒检测、黑盒检测失效中获得技术差距。其中黑盒检测有两大利器，即安全众测和红蓝对抗，能够先于对手发现自己的漏洞和弱点，对这类检测失效的原因进行深挖，是差距分析的重点。

解决方案和计划，解决方案提出的一条条解决措施，最终要落到重点项目和任务上去实现。计划分解的频度方面，当年的至少细化到月，未来两年的细化到季度即可。

当年重点项目和重点任务，是解决方案落地的关键，当年的工作目标靠重点项目和重点任务实现。差距、解决方案、重点项目和任务、计划要形成一系列有继承关系的完整链条，才是可落地的整套规划。项目和任务的区别是，项目比任务要大和复杂一些，任务属于优化改进的小措施，项目通常是要立项和花钱的，如图 3-2 所示。

图 3-2　安全规划落地示例

上一版安全规划目标差距分析，是针对上一阶段的规划执行情况进行回顾和检讨，排查实际完成效果与规划目标的差距，分析造成差距的原因，避免新规划执行过程中重蹈覆辙；分析后认为需要调整或补充执行的内容，放入新的规划中落地。