3.1　規劃前的思考

我們會在日常工作中有非常多的時間浪費現象，或者感覺太辛苦。著名企業文化與戰略專家陳春花老師曾說過，要常問自己三個問題：

1）你為什么會辛苦？很多人會發現你想做的事情下屬沒幫你去做。

2）你為什么很辛苦？你發現每一個小時的效率不夠。

3）你為什么那么辛苦？是因為你發現很多人做的事情并不真正產生效益。

據史書記載，諸葛亮54歲去世，諸葛亮為何英年早逝呢？諸葛亮以忠君扶蜀為先，把自身的健康放在一邊，既不鍛煉，又不習武。為了一統天下，諸葛亮常常要深謀遠慮，運籌帷幄。他還習慣于晚睡早起，一生謹慎小心，軍中事無巨細，都要事必躬親，整天弄得精疲力竭。這種身心勞累的負擔，年輕時還能應付，一旦過了中年，就會顯出快速衰老的征象。據史書載，諸葛亮的使者到了魏營，司馬懿不問軍中之事，單問諸葛亮的飲食起居和工作忙閑情況。使者告訴他，諸葛公向來喜歡晚睡早起，連罰打士兵二十軍棍這樣的小事都要親自處理，可早飯卻吃得很少。司馬懿聽后馬上得出結論：“亮將死矣！”果然不出司馬懿所料，不久在撤退途中，諸葛亮就憂慮嘔血而亡?？梢?，事必躬親，對大BOSS來講，弊大于利。

三個問題，一則典故，反映了很多問題和錯誤，這些錯誤顯然都不應該發生。但怎么解決呢？這個見仁見智，可以有很多角度的解決方案。但在信息安全領域，首要的解決方案就是做好安全規劃。

金融企業戰略規劃（通常是五年為周期）、IT戰略規劃（通常三年為周期）、信息安全三年規劃、××年工作計劃，是自上而下、一脈相承的。負責制訂IT戰略規劃的人，通常會要求企業安全負責人提供信息安全三年規劃作為基礎材料，統籌而成。能否做一份看起來高大上，實施起來又接地氣可執行的信息安全規劃，是金融企業安全負責人的必備技能。

信息安全規劃，以及在此框架下的年度工作計劃，決定了新一年的安全投入，包括人員和資金的預算。而預算的大小，往往和IT戰略規劃中信息安全相關內容的篇幅形成正比關系。

在信息安全規劃編制啟動時間點選擇方面，建議選擇每年10月啟動，12月定稿。有的企業喜歡12月啟動，春節前后甚至3月底定稿，這樣的時間安排存在很大弊端。企業工作中，總結、考核、預算，通常以自然年為單位（大部分金融企業如此，外資企業不同），而企業員工概念中，一年工作結束一般以農歷年為單位。因此元旦到春節后，各種年會、總結、慶祝，基本上處于一個工作斷檔期。規劃如果是3月前后定稿，那么和規劃相關的重點項目的資源準備，如合作廠商技術交流測試、項目采購等，就會浪費自然年的第一季度。如果每年10月啟動，12月定稿，就可以利用元旦到春節前后的時間，進行規劃相關項目、資源的準備工作（比如，采購文檔編制、采購流程發起、新招人員面試筆試等），春節后就可以開足馬力，立刻開干。

安全規劃考慮的因素，除了時間外，還應該考慮監管要求、企業風險偏好、IT戰略目標、技術發展、資源約束、安全價值體現等，此處就不一一展開了。