如果要你入职一周内短时间完成安全规划，你会怎么办？

显然是一件极其困难的事情。

制定完善的安全规划之前是需要详细地了解企业安全的整体情况，针对不同层面、不同方向、不同阶段的安全风险建立全面周详的防护机制，最终形成覆盖管理、技术和人员的安全体系。

一、特点

1、简单：干系人可以快速理解并接受，减少沟通的成本。

2、能救火：对业务影响最大的风险应该被覆盖，尽快降低损失。

3、可执行：相关措施必须可以实施落地，避免假大空的概念设计。

4、有限资源：充分考虑执行环节的资源需求和实际情况，杜绝狮子大开口。

二、制定基础制度

好的安全管控，是自上而下的。通过发布制度，让高级管理者为自己授权，配合的工作，变成必须遵守的企业制度。

1、适度约束：只覆盖当前阶段必须管控的内容，避免引发群体抵触。

2、简明清晰：制度内容一目了然，避免空话太多导致重点被忽略。

3、平衡业务影响：对业务和风险划分优先级，允许业务部门调整资源排期。

4、明确职责和惩戒：约定协作义务，制定可衡量的判断标准。

三、执行全面评估

业务等级分为、高、中、低三大类。

检查清单如下

1、数据系统（合规）

2、应用程序（滥用）

3、数据库（授权）

4、中间件（缺陷）

5、操作系统（漏洞）

6、网络设备（合理性）

顺序按照实际情况进行。如果主要威胁来自外部，那么网络设备会优先考虑。

如果威胁主要来自内部泄密，那么应用系统会优先考虑。

四、建立监控审计

对企业的评估清单中的选项，进行安全监控审计。

常见的开源安全运维平台为OSSIM。

选择开源的解决方案，商业方案还是自己开发部署方案，取决于企业对此项安全需求的评估，（特别是高层管理的意见）。