重视信息安全规划设计，有序推进安全建设实践

信息安全工作与网络、运维、平台、业务各个部门之间存在较强的关联关系，安全规划与落地实践过程需要企业组织内部达成各项共识。所以安全规划工作首先要确立符合自身安全实际与安全目标的战略方针，作为贯穿信息安全工作的纲领性指引。

信息安全的根本目标是保障IT架构、业务应用的安全与稳定，从而为业务战略的实现提供安全基础。安全规划的目标设定，要与业务系统的重要性与安全等级划分相匹配，依据对外提供的服务类型梳理实际面临的安全风险，转化为安全需求和目标，保证安全措施与安全需求之间适度、适配。

同时，业务服务模式的变化和IT基础设施的革新，必然带来新的风险。安全活动与业务应用、基础架构严格遵循同步规划、同步建设、同步使用的原则。

安全合规是信息安全工作的底线，也是安全框架确立的基础。

随着国家、行业安全合规性标准要求不断完善，各类机构、企业要着重梳理相关安全标准要求，厘清之间的关系与定位，提取安全合规的细化要求进行分类与合并，例如强制性的必须满足、推荐性的选择性参考，形成安全合规图谱，作为安全规划的要素输入，确保未来安全工作在合规框架内推进，提高安全合规监管任务的响应效率。

高效、准确的安全调研工作，是确保安全规划差距分析环节质量的基础，而安全规划的调研又强调合规、风险、威胁多视角现状信息的收集与挖掘，也包括业务侧、网络侧、运维侧、安全侧多场景流程机制梳理。

这就要求依据安全规划事项的周期、内部协作难易程度、对日常安全工作影响等方面，进行调研事项与内容的筛选，设计针对性的调研表，同时结合实际组织内部情况，采取线上、现场访谈，以及相关方案材料的审核等方式。

在整体安全规划框架内，包括提供安全管理支撑作用的安全管理体系，提供技术支撑能力的安全技术体系，实现安全治理与防护流程机制的安全运营体系。

在实际安全规划设计时，须明确三大体系之间的边界，使其在各自框架内形成清晰的逻辑架构，明确各自体系的重点与目标。信息安全的整体性特点，又要充分发挥三者之间互为支撑、互相促进的作用，形成完善的安全框架，以目标为导向发挥整体安全价值。

合理的安全架构设计，是规划顺利落地实践与发挥效率效能的关键。以“三化六防”、平战结合为核心理念的安全实战方法论，以及网络杀伤链模型、自适应安全架构、攻击者战术与技巧、IATF信息保障技术框架等，均能为安全规划，尤其是技术架构和运营架构提供更强韧的安全防护要素输入，有效应对风险威胁。

另外，安全规划也要汲取同行业在信息安全建设方面的实践经验和理念思想，融入自身的安全框架设计，构建符合自身行业业务与安全属性的安全规划体系。

在安全规划过程中，要建立针对风险威胁、资产安全治理、安全组织、运营指标等各维度的成熟度评估体系，可采用定性、定量相结合的方式，为不同成熟度级别的划分与衡量提供依据。

成熟度评估方法的确立，可为安全规划的过程、效果、风险点等提供科学的分析依据，不断进行优化与调整，最终确保安全规划逐步落地实践。