结构化分析，让5W2H贯穿信息安全规划全程

作者：舒胤明，本硕均就读于成都电子科技大学，硕士期间在信息安全实验室从事恶意代码、入侵检测等方向信息安全技术研究，毕业后曾在中国电科、中国电子等央企从事信息安全产品研发工作，负责安全管理平台、安防系统等项目实施和解决方案落地，深入了解政务、公安等行业需求。从乙方到甲方，现在成都银行科技部担任系统工程师，从事银行信息化体系建设等工作,负责数字证书认证管理的落地实施。

走过2019年，迎来2020年，适逢“十三五”末年以及“十四五”布局之年。可以预见，明年的工作重点，各类规划的启动，无论是中长期规划、“十四五”规划、三年滚动规划...都将会接踵而来。本期主题的推出恰逢其时，5W2H的方法论确实是做规划论证的有利工具，关键是要“知行合一”，让5W2H真正贯穿于整个信息安全规划制定的各个方面。

在这个过程中，结构化的思路能够起到“事半功倍”的效果。下面，笔者从做信息安全规划的主要环说开去，谈谈如何利用结构化的思路，在做信息安全规划的过程中践行5W2H，希望与大家分享交流：

一、宏观形势分析

宏观形势分析，其实就是回答为什么要做信息安全的原因（5W2H中的WHY）。一般说来，宏观形势分析是做任何规划的第一步，信息安全规划也不例外。按照结构化的方式做分析，可以参考管理学常用的PEST分析，可以从以下几个方面展开：

►政策（policy）层面，2017年《网络安全法》颁布以来，各个层面的政策要求不断落地，法律合规方面对信息安全愈发重视。今年等保2.0的修订，央企考核文件中明确网络安全责任，以及央行颁布金融科技的三年规划，都将信息安全提到重要位置。

►经济（economy）层面，可以论述金融科技在降本增效方面的作用；或者谈一谈近来一些信息安全事件的发生，对企业经济损失的评估。

►社会（society）层面，经过近几年国家网络安全周的宣传，以及一些事件的驱动，不管是大中企业、还是个人用户，信息安全意识都有觉醒，信息安全逐步成为其选择产品、服务的一个重要因素。

►技术（technology）层面，一是近年来移动支付的兴起、大数据的用户画像、人工智能在后台分析的应用、云计算对基础设施的变化，新技术新应用新模式都会带来新的信息安全挑战，比如云计算基础设施让内外网边界模糊，大数据与人工智能下数据安全的新问题等。二是新型的攻击手法、威胁层出不穷，从传统的小黑客攻击，到社会工程学、到“正规军”长期潜伏实施APT攻击，正所谓攻防博弈对抗，都值得关注。

二、对标分析

对标分析，有时候也叫“最佳实践”，有单位会在信息安全规划中独立成篇，有些时候也会放在“宏观形势分析”中，但无论放在哪里，对标的重要性都不言而喻，也是能说服高层决策者的重要手段。进行信息安全实践对标的时候，一是视野一定要广，不一定要局限在本行业。比如笔者做银行信息安全规划，其实像蚂蚁金服、京东金融等互联网金融厂商，他们在信息安全方面值得银行从业者学习的有很多。

二是要做到“取其精华”，对于每一家对标企业，不用全盘对标，而是要选取其做得好的地方，比如对标同业银行，学习其在网络设备安全防护、风险控制的最佳实践，对标互联网金融企业，学习其数据安全的先进做法。

三、现状分析

现状分析，主要是结合前面的形势分析、对标分析，以问题为导向，剖析不足，既回答了5W2H中的WHY，又部分引出了WHERE，现状和差距就是入手的地方。要全面系统地找出问题，可以从以下两个方面，通过结构化思路展开：

1. 对接业务。信息安全规划、乃至整个信息规划，也是为整个单位的总体规划服务，信息化要为业务赋能，信息安全要保证信息系统、数据的安全流转，所以一定要辩证看待“安全和发展”的关系，要避免只顾业务发展不顾信息安全，也不能一昧的为了信息安全而牺牲效率。

2. 系统全面。要做到系统、全面，就需要参考结构化的分析方法，做到不重不漏。国际上的ISO27001信息管理体系、我国今年5月新出的等保2.0，都提供了良好全面的框架供各单位开展信息安全现状分析。尤其是等保2.0对云计算、移动互联等新场景也做出了一些规范要求。此外，现在大家都在讲数据安全，今年9月发布的GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》标准，就从数据采集、存储、传输、交换、销毁等全生命周期提出了结构化的评价方法，供大家参考。

3.评估风险。信息安全也遵循“木桶原理”，最薄弱的环节也是最容易突破的环节。按照结构化的方法，对信息系统、对管理进行安全评级、评估后，应当找到风险点，针对风险点提出信息安全的基线要求。有条件，也可以采用“模拟实战”的方式，来进行排查。

四、定目标

这是信息规划的核心部分，是未来一段时间内信息安全建设的“行动纲领”。这一章要回答5W2H中的WHAT、WHEN、WHERE、WHO、HOW、HOW MUCH。可以分为定总体目标以及定重点任务。

定总体目标，主要是把方向、提原则。

一是要服务于企业的业务规划、组织规划、信息化规划，不能“闭门造车”，要服从业务的开展、组织的变化、信息化的实施，思考怎么从管理、技术、运维手段确保信息安全，最好能对照业务规划、信息化规划，将其中的任务要求逐条进行分析，思考信息安全如何保障、如何支撑，才能让信息安全服务于业务。

二是要遵循“安全与发展兼顾”“技术与管理配合”“管控与效率平衡”的原则来制定目标。在这个过程中，有条件的话，要做到和业务部门、职能部门、一线支行的“几上几下”，充分征求听取他们的意见建议，让信息安全规划的目标真正切实可行，切忌让规划变成“鬼话”，以后只能“墙上挂挂”。三是要区分存量增量，已经建好的信息系统如何上信息安全加固手段，新建信息系统如何让信息安全同步规划、同步建设，侧重是不一样的。

定重点任务，主要是按照结构化的分析思路，将总目标进行分解，明确5W2H中的WHAT和WHERE。每一项重点任务，要明确具体目标、实施路径、责任分工、资源投入等。具体目标，就是明确每一项任务要在哪一年达成什么效果（WHAT、WHEN）；实施路径说的是具体怎么干、干到什么程度（HOW、HOW MUCH）；责任分工，就是匹配、调集资源的过程，明确到具体责任部门（WHO）。

五、规划执行

俗话说，“一分部署，九分落实”。规划执行，要做好两件事。一是让宏观的“十四五规划”、“三年规划”与年度的经营预算、年度的行动计划挂钩，有条件的单位要和考核KPI挂钩，将规划的任务落实到每年的行动中。二是要滚动修订规划，要根据规划执行的结果、最新信息安全形势的变化，时刻修订规划，这也是管理学常说的PDCA循环。

以上粗浅的分享，希望能够对各位同行有所帮助。

声明：本文来自安在，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。