自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从业务视角看安全团队工作年度总结

文 | 刘志诚

刘志诚

         乐信集团信息安全中心总监

岁末年初，总结与规划是两个绕不开的主题，上篇文章谈了业务视角的安全总结如何做，本篇文章仍然围绕着以业务为中心的思路谈如何做安全规划。相对于安全计划明确的目标，清晰的路径，指导具体的实施和执行，规划是要找到目标和路径，确定需要的资源，达成高层与利益相关者的高层共识，指导安全计划的完成。

图一、安全规划三部曲

安全规划的三部曲首先需要清晰完整的找到输入，既包含需求又包含制约因素，其次是要有明确的方法落实规划，最后是业务视角的规划输出，用于高层与利益相关者的沟通和指导安全计划的制定。

完整的输入

清晰完整的输入首先在于规划的需求源自什么，没有输入的规划如无根的浮萍，难以逻辑自洽，自然会受到质疑，因此，首先需要找到规划的起点，即规划的需求来源。安全的规划最直接的来源是风险登记表，从国际认证信息安全风险管理师（ISACA CRISC）的观点来看，风险登记表作为以识别安全风险在企业风险接受度下的动态管控风险的系统，为企业的安全风险建立里全面的概貌，是指导企业信息安全管理的重要工具。因此，首先，安全规划源自于风险登记表中大于企业风险接受度的风险管控措施的落实的集合。

风险登记表源自于风险评估，涉及到风险评估与风险处置的专业领域，在系统变更和年度总结时，会对风险登记表进行更新，以动态的反应企业的风险实践情况，是安全规划最直接的输入。风险分析，评估，处置本身是一个风险从业者和安全从业者基于专业领域再加工的过程，在安全规划环节中，考虑到安全规划涉及到企业利益相关者的共识沟通，需要进一步溯源风险评估的上游输入，使用业务语言描述风险对业务的影响，以及风险措施的必要性分析。

所以，安全规划需要与业务战略保持一致的基础上，引用风险登记表并佐以业务说明，在这个角度上，两个业务相关的评估方法的输出，也是安全规划的必要输入，首先是首席数据官（exin dpo）中的一个方法个人数据影响分析（PIA）借用的业务影响分析（BIA），另外一个是从企业风险管理（ERM）中借用的BCP（业务连续性分析）。PIA作为个人信息保护的重要工具通过对业务中对个人数据从采集，到分析，应用的节点中对业务的影响进行分析，指导数据保护官关注个人数据的业务过程，从而为保护措施的规划，实施，审计提供依据。同样，业务视角的安全影响分析，为业务流程的所有者，提供业务影响的分析，为安全从业者与业务负责人建立统一的语言，对安全规划沟通中达成共识，十分必要。BCP是业务负责人需要关注的全面业务风险，安全对BCP的影响，在BCP的规划和计划中体现，是推动业务负责人建立安全意识，主动驱动和落实安全规划的重要方法。因此，BIA和BCP作为业务视角和业务语言的风险管理前置输入，同样是安全规划符合业务方向和战略规划，在沟通层面形成语言一致，逻辑合理的重要输入。

输入中不能忽视的输入是约束条件，主要包含两个层面，一个是安全内部维度的评估，企业的安全文化，安全意识，安全团队的能力，规模，和现状。另一个是业务战略相关的维度评估，主要涉及业务战略，预算投入，风险接受程度。

这两个个约束是避免安全规划大而不当，不切实际，难以落实。因为，无论是规划难度过大而引起的团队士气低落，成就感不足，还是业务部门和利益相关者对安全工作的满意度不高，管理层对安全工作开展绩效的不满，都会对安全工作的严肃性，权威感造成负面影响。安全工作普遍意义上的理解是合规中心，成本中心，是制约业务发展，影响企业效率的平衡措施，虽然这些理解存在不合理，扭曲，但偏见的形成非一朝一夕，安全从业者对利益相关者的观念扭转需要细水长流，在安全规划节点上，注意制约因素，提前预防，从而避免因规划不当而造成的安全工作开展雪上加霜。

系统的规划

规划的过程不是输入的照搬照抄，而是再加工的分析，分类，问答环节。问题驱动，首先清晰定义问题，解决方案，要给出制约条件下的最佳问题答案，价值提升，解决这个问题的业务价值和意义是什么，说清楚这三件事，是完成安全规划的前半部分，后半部分是把安全当作一个整体，透过具体的问题和方案，抽象总结安全的趋势，安全的价值，安全的宏观视图，抽象和升华到安全对企业的整体价值和影响。

常规的安全规划是直接给出解决方案，甚至是直接的产品和服务的组合，这样的规划沟通起来就会非常费劲，需要上溯到必要性，为什么，专业术语，技术细节乱飞，很难达到有效沟通的效果，往往鸡同鸭讲，不欢而散。而从问题出发，是从业务面对的安全风险带来的问题的实际场景出发，业务面对什么样的安全问题是把BIA、BCP以及风险评估的结果通过业务语言场景化的阐述，清晰定义出要解决的问题。这样，业务部门，和管理层清晰的知道你的目标是什么，沟通起来就更畅快。

解决方案在规划层面不是具体的产品，而是针对这个问题的方案有哪些，2-3个备选方案，包含业界的标杆和团队自主的思考，在这个阶段是没办法给出结论的，但是有明确的解决方案的方向，是需要安全团队去沟通，测试，验证和实施的。在解决方案的环节，多样性和选择性，是业务部门和管理层可以参与意见和提供决策建议的节点，如果是达成共识的决策，对后续安全规划的落实以及指导安全计划的输出同样价值匪浅。

不能忽视的环节是价值提升，解决方案的目的当然是解决安全问题，但在解决安全问题的同时，需要思考这个解决方案带来什么样的价值，这事考量和平衡解决方案选择的重要因素之一，解决一个问题通常会有不同的方案，在业务和合规，效率与安全平衡的节点时也往往有短期方案和长期方案的区别，但从经验来看短期方案往往在解决表面问题后成为长期方案，从而给企业和业务带来长期的风险，后期的治理成本高昂。因此，从业务的角度多思考一步价值提升，能不能为业务带来价值，能不能为企业带来价值。这个价值不能狭隘的从经济利益一个维度思考，在国家高度重视安全的背景下，解决方案的先进性，创新性，在公司的企业形象上，在上市公司的市值管理上，也可能具有重大的公共关系价值。这是安全规划阶段需要考虑的因素之一。

以问题驱动的多选择解决方案关注业务价值提升只是做到了安全规划工作的前半部分，以点和面的思维来解决具体问题。后半部分需要从整体的观点思考全局安全工作，把散落在具体问题和具体解决方案之中的共性，趋势，散落在具体问题和具体解决方案之外的洞察和思考，形成安全对业务从保障到驱动的观点，转换为可以落实的团队，技术体系，管理运营体系的建设策略。既要低头拉车，也要抬头看路，保持团队的先进性和创新性，才能适应高速变化的社会需求，实现安全的从业务保障到业务驱动的飞跃。

精炼的输出

规划是过程，输出才是规划的成果，从国际项目管理师（PMP）的角度而言，一个项目要从时间，资源，质量约束下实现目标，借鉴过来，一个好的安全规划输出要包含几个要素，预算表，能力矩阵，路线图。

规划和预算是两个相关但在操作中可能被分离的过程，一个是专业语言，一个是财务语言，但其实在规划中，需要从资源约束的维度思考，输出预算表，在实际操作中，会从存量延续，方案新增，能力提升的维度划分出不同预算的类别，并根据规划的依据确定预算的范围。以规划为依据的预算，在和财务部门和管理层沟通中，会节省彼此不少的时间，是管理效率提升的体现。

能力矩阵是解决方案与能力提升抽象整合的产物，也是企业安全架构的动态版本，通过安全规划在企业安全架构中的位置，从整体上可以关注企业安全风险治理的现状和进展，结合风险登记表和风险视图，在安全风险和安全风险治理的层面上达成利益相关者的共识，推动安全规划的落实具有重要价值。

路线图是时间约束的体现，在能力矩阵的基础上，对关键解决方案和能力提升项目化的给出年度里程碑和关键节点，为后续安全规划落实到可执行的安全计划，在投入，进度环节与管理层和业务部门等利益相关者达成共识，直接关系着安全规划的落地和实施。

最后，不得不提的安全规划的PDCA维度的持续改进，以及安全规划的能力成熟度模型，这也是安全规划和安全总结实现闭环必不可少的环节，只有建立从安全规划到安全总结的闭环，才能实现安全工作的持续改进，达到理想的从业务保障到业务驱动的安全规划状态。

诸子笔会 |1月征文合集《安全规划》

蔚晨：金融机构数字安全规划要点综述

杨文斌：如何让安全规划掷地有声

诸子笔会 |12月征文合集《总结报告》

刘志诚 蔚晨 王振东 孙琦

杨文斌 赵锐 肖文棣 月奖公布

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在