接上一篇《关于企业“下一代信息安全架构”的思考（二）》

本文为整个内容的第三部分。这是一个讲究干货的时代，需要不断创新与落地。

第三部分：企业怎么选择适合自身的安全架构？

（五）认识为先

前段时间和一个大型上市传统企业的CIO沟通过，他们对安全的认识就是别出“灭顶之灾”，对安全的认识还是被动的解决问题，救火的思路。在制定企业信息安全架构以前，企业高层对信息安全认识至关重要。将安全作为业务的一项核心竞争力，“主动的”进行安全建设工作，应该是一个企业高层对信息安全认识的基本出发点。

　　（六）企业安全架构规划方法论及关键点

企业信息安全建设的总体思路图如下。（信息安全架构是信息安全建设体系的核心指导框架和目标）

企业在进行信息安全架构顶层设计可参考的方法论如下。进行架构设计完成后，后续的详细设计、落地建设等等也至关重要。

　　在制定企业信息安全架构的一些关键要点如下：

首先依据企业的发展战略，明确定义企业的安全愿景、目标、角色和需要的安全能力等，然后再从业务到应用，再到系统再到基础架构。一步步分析并制定业务安全架构、数据安全架构、应用安全架构、基础设施安全架构等。

行业的安全要求：主要关注法律、规范等合规性的要求。比如PCI/DSS、HIPAA、等级保护、数据安全保护等。同时要关注行业的最佳实践比如ISO 2700X、COSO企业风险管理、ITIL等。

企业的业务需求：进行现状及风险评估，根据业务策略和IT战略，结合信息安全总体需求，提出信息安全的总体目标、建设思路，企业安全总体架构等。

注重未来的业务发展：考虑一些前瞻性的业务方向，进行面向未来的信息安全架构顶层设计。

架构不是只设计一个框架，后续的架构管控和架构变更也一定是架构设计的一部分重要内容。

（七）企业在进行体系建设工作方法上需要关注的点有哪些？

引言：落地是最难的，引用哥伦布的故事：五百年前，当伟大的航海计划在哥伦布心中萌动（目标清晰），他用了五年的时间成主水手（定位明确），再用了五年的时间成为学者（手段 先进），最后用了五年的时间四处演说，争取支持（领导支持、同事理解），一朝启程（组织到位），短短八个月里（流程顺畅），哥伦布发现了新大陆，他成了在历史的长河中流光溢彩的人物。值得信息安全人员借鉴。

　　（1）“大处着眼、小处入手”

仅仅讲思路是不够的，要注意操作层面的东西。 有了思路以后，必须要考虑阶段性的目标、重点是什么、如何有效阶段呈现工作效果让别人认可，这些都是保证工作能持续的关键。

（2）“先僵化、后优化、再固化”

快速上路很重要，在实施和推广过程中一定要坚持“先僵化、后优化、再固化”的思想，快速上路、快速调整。

（3）“三个一把手原则”

高层领导一把手，即取得最高管理层的支持和认可是项目成功的关键，在项目建设和变革过程中要打破部门墙；

中层各部门一把手，通过对业务流程的优化，项目实施带给业务收益和效率提升来进行引导，这样就减少了阻力，形成动力；

各基层部门操作岗位的一把手，更好的推广、监督、宣传，实现最大目标。

（4）思维的支点至关重要

从外向内看，从用户角度向自身投射看。outside-in的思路很关键 而不是inside-out。其实好多时候思路的出发点最关键。 换位思考， outside-in，从别人的角度来映射回看问题。

(5) “以终为始”

设计好（或思考好）路线和过程，从目标定期往回审视。避免：走的太远，忘记了为什么而出发。

(6)“持续优化，不断改进”

选择能够与竞争环境和业务需求匹配的系统，尽快行动起来，开始分享项目建设带来的回报，等待完美不会带来收益，信息安全项目是一个持续优化，不断改进的过程。

完成全文。