企业安全建设指南:金融行业安全架构与技术实践
上QQ阅读APP看书,第一时间看更新

3.1 规划前的思考

我们会在日常工作中有非常多的时间浪费现象,或者感觉太辛苦。著名企业文化与战略专家陈春花老师曾说过,要常问自己三个问题:

1)你为什么会辛苦?很多人会发现你想做的事情下属没帮你去做。

2)你为什么很辛苦?你发现每一个小时的效率不够。

3)你为什么那么辛苦?是因为你发现很多人做的事情并不真正产生效益。

据史书记载,诸葛亮54岁去世,诸葛亮为何英年早逝呢?诸葛亮以忠君扶蜀为先,把自身的健康放在一边,既不锻炼,又不习武。为了一统天下,诸葛亮常常要深谋远虑,运筹帷幄。他还习惯于晚睡早起,一生谨慎小心,军中事无巨细,都要事必躬亲,整天弄得精疲力竭。这种身心劳累的负担,年轻时还能应付,一旦过了中年,就会显出快速衰老的征象。据史书载,诸葛亮的使者到了魏营,司马懿不问军中之事,单问诸葛亮的饮食起居和工作忙闲情况。使者告诉他,诸葛公向来喜欢晚睡早起,连罚打士兵二十军棍这样的小事都要亲自处理,可早饭却吃得很少。司马懿听后马上得出结论:“亮将死矣!”果然不出司马懿所料,不久在撤退途中,诸葛亮就忧虑呕血而亡。可见,事必躬亲,对大BOSS来讲,弊大于利。

三个问题,一则典故,反映了很多问题和错误,这些错误显然都不应该发生。但怎么解决呢?这个见仁见智,可以有很多角度的解决方案。但在信息安全领域,首要的解决方案就是做好安全规划。

金融企业战略规划(通常是五年为周期)、IT战略规划(通常三年为周期)、信息安全三年规划、××年工作计划,是自上而下、一脉相承的。负责制订IT战略规划的人,通常会要求企业安全负责人提供信息安全三年规划作为基础材料,统筹而成。能否做一份看起来高大上,实施起来又接地气可执行的信息安全规划,是金融企业安全负责人的必备技能。

信息安全规划,以及在此框架下的年度工作计划,决定了新一年的安全投入,包括人员和资金的预算。而预算的大小,往往和IT战略规划中信息安全相关内容的篇幅形成正比关系。

在信息安全规划编制启动时间点选择方面,建议选择每年10月启动,12月定稿。有的企业喜欢12月启动,春节前后甚至3月底定稿,这样的时间安排存在很大弊端。企业工作中,总结、考核、预算,通常以自然年为单位(大部分金融企业如此,外资企业不同),而企业员工概念中,一年工作结束一般以农历年为单位。因此元旦到春节后,各种年会、总结、庆祝,基本上处于一个工作断档期。规划如果是3月前后定稿,那么和规划相关的重点项目的资源准备,如合作厂商技术交流测试、项目采购等,就会浪费自然年的第一季度。如果每年10月启动,12月定稿,就可以利用元旦到春节前后的时间,进行规划相关项目、资源的准备工作(比如,采购文档编制、采购流程发起、新招人员面试笔试等),春节后就可以开足马力,立刻开干。

安全规划考虑的因素,除了时间外,还应该考虑监管要求、企业风险偏好、IT战略目标、技术发展、资源约束、安全价值体现等,此处就不一一展开了。