《企业安全建设指南：金融行业安全架构与技术实践》 —3.3　制订步骤

3.3　制订步骤

制订安全规划的步骤包括 ：

1）调研。

2）确定规划目标、现状和差距。

3）制订解决方案。

4）一稿，二稿……直到定稿。

5）向上层汇报。

6）回顾。

3.3.1　调研

做规划前，大BOSS一般喜欢问我们几个问题：

未来三年，本团队要做的最牛的三件事是什么？

未来三年，你认为世界最好的团队会做哪三件最牛的事（我们不做的原因）？

未来三年想做但没敢写入规划的三件事是什么？本团队领域，很有价值但技术没有可能实现的事情是什么？请列出1～2件。

每年最痛苦的就是怎么填这个大坑了，后来，我们将大BOSS的问题转换了一下，更接地气一点：

这个领域最好的团队在做什么（最佳实践）。

我们在同业处于什么水平（自我感知）。

我们的现状（存在哪些差距）。

回答上述问题的最好渠道是实地调研，多方学习，例如：

一是向大型互联网企业学习，这些大型互联网企业无论是面临的安全威胁、全量的攻击场景、复杂的网络和应用环境，还是海量的服务器、终端、人员数量、遇到过的坑等，都是宝贵的实践经验。稍显遗憾的是，互联网企业（特别是做安全的）不太可能敞开心扉进行传道授业解惑。因此，拥有一定的安全圈人脉资源也是企业安全负责人的必备条件之一，越来越多的企业安全人员招聘也要求这点。同时，注意参加这些互联网企业举行的年度会议，也能收获很多干货，建议多参加此类会议，远离厂商自嗨会。

二是向同业学习。可以抓住一切了解金融同业的机会，向规模比自己大的企业学习实践中遇到过的问题，向规模差不多的企业学习资源配置情况，向规模比自己小的企业学习单点突破能力强的领域。每年开春后，北上广深走一圈，基本上就能大致了解整个行业的概况。