安全规划

信息安全规划服务主要是从客户核心业务、核心价值出发，根据客户的发展战略，以针对性安全问题和支撑性安全技术为主线，通过安全评估，对信息化建设和信息安全建设进行分析和总结，对现有网络和信息技术的固有缺陷出发，从信息安全领域的完整框架、思路、技术和理念出发，提供完整的安全建设思路和方法。信息安全规划站在客户整体角度，从策略、组织、管理、技术、资源等多方面进行综合考虑，涉及综合管理、技术规范、工程建设、运行维护等多个层面，最终形成一个完整的安全建设方案，并投入实施。信息安全规划的成果具有可行性、针对性和前瞻性，是组织在一段时间内开展信息安全保障工作的重要依据。

现状调研与需求分析是信息安全规划的起点，包括安全战略分析、安全现状分析、安全需求分析三大任务，旨在揭示客户信息安全现状，明确与国家与行业相关标准要求存在的差距，识别客户安全需求和期望达到的安全目标，为制定信息安全架构提供基础数据和设计依据。

实施人员通过文档收集、问卷调查、人员访谈、风险评估、合规差距评估、组织自身需求等方法进行安全战略目标和安全现状分析，同时结合行业最佳实践、新兴技术挑战及外部环境威胁，综合进行安全需求分析，并安全现状调研与需求分析报告。

总体架构及蓝图设计

总体架构与蓝图设计是信息安全规划的核心，包括总体架构设计、基础架构设计、建设重点及蓝图三大任务，旨在明确信息安全建设目标和方向，使客户安全工作在其体系化的指导下有序地进行。

总体架构是信息安全建设的体系结构，以直观化和结构化的方式，从多个角度对未来信息安全建设状况进行描述和设计。通过对信息安全总体架构的设计，可以保障未来信息安全建设的体系化和完整性。遵循国家及行业法规政策要求，结合多年行业先进经验和实践模型，将PDCA模型、IATF核心思想、Garnter自适应安全架构形态结合在一起，形成一套信息安全总体架构设计模型。

该模型主要分为4个层次，最核心部分是安全策略，通过安全策略指导整体安全体系的整个安全体系的设计、实施、维护和改进，是一切信息安全实践活动的方针和指南。

第二层体现了信息安全的三个基本要素：人员、管理和技术。在保证信息安全的过程中，人员是关键、管理是核心，技术是手段，必须做到管理和技术并重，技术和措施结合，充分发挥人的作用，在制度和安全标准的约束下，才能确保网络信息的安全。

第三层是预测、防御、检查、响应四个周期循环，持续不断。云时代的安全服务应以持续监控和分析为核心，充分利用主动监控，覆盖全网IT设施，覆盖预测、防御、检查、响应四个周期，自适应于不同的基础设施和应用系统并形成统一安全策略，才能应对未来更加隐秘、专业的高级攻击。

第四层是PDCA模型，以PDCA的思想持续不断地提高和完善总体规划，以保证客户信息安全建设的连续性、前瞻性、先进性和可靠性。

实施人员按照上述信息安全总体架构设计方法论，根据客户实际情况和重点关注方面来定义信息安全总体架构。

项目规划与实施设计

项目规划与实施设计是信息安全规划的结果，包括信息安全现状与总体架构之间的差距分析与改进措施、项目群架构设计、项目群优先级分析、项目群相关性分析及实施路径规划四大任务，旨在明确信息安全建设步骤和实施计划。

通过对比企业安全现状与未来蓝图之间的差距，明确需要在哪些地方改善和提升，并针对这些地方设计相应的改进措施，从而形成备选项目。针对备选项目群，从项目的紧迫性、可实施性、实施难易程度和预期实施效果这几个方面分析项目实施优先级，结合项目相关性分析，参照客户信息安全战略目标，按照项目优先级分布到各个规划年度。形成一个一定期限内的安全项目建设路径，并制定近期、中期和远期实施演进路线图，清晰勾勒出企业通过每年的信息安全建设逐步接近建设目标的演进路线和建设步骤，形成项目规划和实施设计报告。

基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高信息系统的整体安全防护能力，为用户业务发展提供坚实的信息安全保障。