1.盲目建设阶段

    企业在建立初期，面对激烈的市场竞争，企业需要投入全部的资源，因此他们往往会有意无意的忽视掉企业的信息安全建设。还有一个原因在于企业面对网络攻击时抱有侥幸心理，认为企业不会成为攻击目标，或者是攻击不会给企业带来严重的损失。

有很多数据表明，这类企业也是攻击者最喜欢的目标，因为它们缺少必要的安全防护措施，简单的攻击手段就可以很容易入侵到企业内网，进行一些破坏或者是窃取一些机密数据。不少中小型企业也因此付出了惨痛的代价。

在这个阶段，安全成为了他们避而不谈的词语。把预算都花在了企业信息化建设上。殊不知这样等同于只改了房子而没有建围墙，小偷可能随时靠近你的房子进行一些不法行为。

2.规划实施阶段

但是随着科技的发展和时间的推移，这种现象也随着得到了进一步的改善。企业在遭受攻击和蒙受经济损失之后进行了反思和吸取教训，在这个过程中，企业内的信息技术部门被推上了前线，充当了技术专家的角色，开始对遇到的问题寻求解决方案，会从市场上挑选几个安全产品的厂商进行技术交流，把自己遇到的问题抛出来，看看他们能否给出一些合适的解决方案，通过多次的技术交流，还有产品测试，会选择一款功能满足，性价比最高的作为选择。

但是随着产品的使用会发现，用上了安全产品并没有解决实质的问题，因为安全是动态的，并不是购买了一个或者几个安全产品就可以高枕无忧，一劳永逸。而是需要一个长期的动态管理过程。

    这个时候不得不提到一个很著名的思维模型:戴明环。如下图，

 

 

P--策划：根据组织的业务运作需求及有关法律法规要求，确定安全建设管理范围与策略，通过风险评估建立控制目标与方式。

D--实施：按照所选定的控制目标与方式进行信息安全控制。

C--检查：对安全建设管理过程和信息系统的安全进行监视与验证，并报告结果。

A--行动：对策略适宜性评审与评估。

    通过参考此思维模型，不断循环的对安全能力进行提升，能够使企业的安全水平和能力有质的飞跃。

3.独立自主阶段

    此阶段企业已经具备了很好的安全管理能力，各部门管理层也可以对安全负责，配合安全部门的各项工作开展。通过定期的安全意识培训，员工的安全意识也有了一些提升，对岗位工作上各个方面的信息安全隐患也都有所了解，按照公司的规章制度开展工作。公司也已经建立信息安全管理委员会，形成自上而下的管理过程。

4.监管合规阶段

对于企业来说，合规是安全防护中最重要的基础工作。合规基线是信息系统必须满足的最低安全要求。安全建设往往需要在所付出的成本与所能够承受的风险之间进行平衡, 而合规基线正是这个平衡的分界线。如果满足不了最基本的安全需求, 也就无法承受由此带来的安全风险。如今，合规基线己经成为安全建设的首要步骤, 同时也是进行安全评估、解决安全问题的先决条件。

    合规基线与公认的标准内容都是一致的，这也意味着满足合规基线就是遵守了法律法规。信息系统在企业中扮演着至关重要的角色，因此满足合规要求也同样至关重要。信息系统的合规建设要按照公认的标准实施和管理信息技术，包括技术标准以及如何在业务操作过程中使用该技术标准。

如果不知道哪些法律法规适用于现在的业务系统，就无法正确按照法律法规进行合规建设。例如，等级保护要求对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

    当安全和业务流程保持一致时，成本会更低，效果也会更好。当拥有企业高层的支持时，可以使用自上而下的方法。这种方法的优势在于可以协同有效地利用资源（包括人员），业务流程和安全技术一起工作来共同管理风险和成本。相反，如果管理层没有为安全方案指定大的方向，而只是设定了一些诸如数据防泄漏、端点保护、主机入侵检测等安全产品的部署要求，合规建设就仅仅只能满足修复的需求，而无法成为具有长期收益的建设工程。

5.常态运营阶段

    经过一系列的安全建设，在这个阶段公司对于内部的安全防护还有外部的监管都驾轻就熟。企业的安全事故发生率远低于行业标准，对员工的不安全行为很重视，使用”软”与”硬”措施来管理，所有人员都在执行整改中来提高管理水平。关于安全与利润的关系不再是讨论的内容，企业可以推迟一些安全项目，但是不会因为金额过大而搁置。每年都会投入固定的预算对当前的安全水平进行加固和提升。

原文始发于微信公众号（小毅安全阵地）：企业安全建设的几个阶段