第四部分，分享一下我們具體的安全規(guī)劃的實(shí)施方式和方法。這張圖我們花了很大的精力、費(fèi)了很長(zhǎng)的時(shí)間做的，大家可以看到這張圖分成了兩個(gè)框架，前面是信息管理框架，后面是技術(shù)框架。這些部分我們要做的工作非常多，這就是我們現(xiàn)在面臨的現(xiàn)狀，你把它都放在里面，哪些做了、哪些沒(méi)做、哪些是著急做的，右上角的位置是我們做的分析，我們會(huì)逐步的去做。因?yàn)樾畔�安全建設(shè)不是一蹴而就的，我們要有一個(gè)漸進(jìn)的過(guò)程。

剛才大家看到了這么多的內(nèi)容，企業(yè)也不可能一次性把它實(shí)施完成，所以我們有自己的實(shí)施路線圖優(yōu)先級(jí)的考慮。我們會(huì)從嚴(yán)重性、風(fēng)險(xiǎn)、收益、易實(shí)施性、最佳實(shí)踐5個(gè)維度進(jìn)行，把我們的事情進(jìn)行輕重緩急的分配。這是我們整體上在實(shí)際運(yùn)作的時(shí)候做的一個(gè)路線圖，我們做了3年安全規(guī)劃的投入，大概的投入是控制預(yù)算在1000萬(wàn)以內(nèi)，每年投200萬(wàn)到300萬(wàn)，能達(dá)到最終做到3．0。大家可以看到，我們?cè)谶@個(gè)行當(dāng)做到3．0就OK了，沒(méi)必要往4．0做，因?yàn)樗�有投入都是要成本的。這個(gè)也是對(duì)應(yīng)我們的安全成熟度滑動(dòng)標(biāo)尺，我們第一步在第一年是建體系、搭圍墻，做基礎(chǔ)保障安全。第二步是梳理數(shù)據(jù)資產(chǎn)，建保險(xiǎn)柜，來(lái)實(shí)現(xiàn)縱深的防御。第三步是運(yùn)維保障，主動(dòng)防御，做到整個(gè)企業(yè)的安全運(yùn)營(yíng)。這是每個(gè)環(huán)節(jié)我們要做的一些內(nèi)容，也把它分解到這張圖里了。

這是我們的建設(shè)內(nèi)容實(shí)施規(guī)劃，1．0的時(shí)候要做哪些工作，我們細(xì)化出來(lái)了，第二年2．0的也細(xì)化出來(lái)了，第三年3．0要做什么也細(xì)化出來(lái)了，一步一步，這樣我們的規(guī)劃才能落地。這個(gè)又細(xì)了一步，直接到了建設(shè)層面上，大家看一下這些項(xiàng)目，包括方案選型、預(yù)算，一個(gè)規(guī)劃怎么落地、要做哪些事、要花多少錢。這里給大家分享了一個(gè)點(diǎn)，建設(shè)模式大家一定要想清楚，比如說(shuō)我們的信息安全組織的建立肯定是自主建設(shè)的，一個(gè)企業(yè)沒(méi)有信息安全組織就沒(méi)有組織保障，你的事情是做不好的。但是安全制度和流程的建立，我建議各位請(qǐng)外面比較成熟的咨詢公司去搭建一個(gè)體系，后面這些可以用外部支持，自己也可以去做。縱深防御階段，我們要做數(shù)據(jù)放泄露、數(shù)據(jù)庫(kù)審計(jì)、工控系統(tǒng)安全等等，這是根據(jù)我們企業(yè)的情況的缺失部分。這是到3．0以后要做的工作，底下還有一些內(nèi)容，我只是給大家舉了一下。

基本上今天給大家分享的企業(yè)信息安全建設(shè)規(guī)劃方面的情況就是這樣，最后的結(jié)束語(yǔ)我想和各位分享一下，信息安全問(wèn)題歸根結(jié)底是人的問(wèn)題，信息安全管理是核心，技術(shù)是手段，道高一尺，魔高一丈，信息安全建設(shè)只有起點(diǎn)，沒(méi)有終點(diǎn)，我們永遠(yuǎn)在路上。我今天的分享就到這里。謝謝各位！