3.2　規劃框架

安全規劃的框架，應包括概述、需求分析和安全目標、各個安全領域的現狀和差距分析、解決方案和計劃、安全資源規劃、當年重點項目和重點任務、上一版安全規劃目標差距分析等。以下是安全規劃的框架示例，如圖3-1所示。

圖3-1　安全規劃框架示例

概述部分主要包括信息安全形勢分析，安全形勢可以是外部安全形勢、行業形勢、監管和股東要求、對手分析（攻擊者、內部異常員工）等。

安全目標是指規劃周期結束組織應該達到什么樣的信息安全水平。安全目標應該是跳一跳，拼命奔跑才能達到的，甚至是很大概率達不到的，而不應該是躺在床上就能實現的。

對現狀和差距的分析相當于自我體檢，最重要的是能從過往的安全檢查中分析管理差距，以及從白盒檢測、黑盒檢測失效中獲得技術差距。其中黑盒檢測有兩大利器，即安全眾測和紅藍對抗，能夠先于對手發現自己的漏洞和弱點，對這類檢測失效的原因進行深挖，是差距分析的重點。

解決方案和計劃，解決方案提出的一條條解決措施，最終要落到重點項目和任務上去實現。計劃分解的頻度方面，當年的至少細化到月，未來兩年的細化到季度即可。

當年重點項目和重點任務，是解決方案落地的關鍵，當年的工作目標靠重點項目和重點任務實現。差距、解決方案、重點項目和任務、計劃要形成一系列有繼承關系的完整鏈條，才是可落地的整套規劃。項目和任務的區別是，項目比任務要大和復雜一些，任務屬于優化改進的小措施，項目通常是要立項和花錢的，如圖3-2所示。

圖3-2　安全規劃落地示例

上一版安全規劃目標差距分析，是針對上一階段的規劃執行情況進行回顧和檢討，排查實際完成效果與規劃目標的差距，分析造成差距的原因，避免新規劃執行過程中重蹈覆轍；分析后認為需要調整或補充執行的內容，放入新的規劃中落地。