网络信息安全运营方法论 （中）

安全运营的规划

安全运营的规划要有系统性，即有两个方面，一是目标自身的系统性和完整性，二是针对目标的防护体系系统性和完整性。

安全运营的对象和目标是应用系统，目标的系统性应包括组成系统的众多元素，概括为使用者、数据、设备（可包括硬件、软件）。安全运营需要将构成目标系统完整运行的各个要素看成一个整体，防护体系的构建能够完整、有效的梳理并覆盖安全风险，不因遗落或木桶原理造成整体性影响。

既然安全是重要的“业务/产品/资产”，一定存在需要加强或提高的地方，制订短期/中期/长期规划非常有必要。

企业可参照当前现状和运营目标制订系列"建设"内容，处于"架构级"的规划内容可以为实现全部终端集中控管、业务互联网入口部署WAF等等，处于"被动级"的规划内容可以为安全团队成员扩编至2人、建设集中日志分析系统等等，处于"主动级"的规划内容可以为推进DevSecOps、建设安全运营中心(SOC)等等。

安全运营规划需要相应的预算进行支撑，建设和运行须与企业的安全运营目标匹配，持续筑牢架构、优化流程和完善制度，实现安全运营从“被动”转向“主动”，甚至更高。

安全运营的团队

企业是否拥有专职安全团队被视为是否重视信息安全的重要标志，兼职安全管理岗不算安全团队，信息安全管理是高强度的脑力工作，兼职则无法保障安全管理工作的有序开展并存在很多弊端。

以金融行业为例，