作为信息安全从业人员，不管是合规管理岗或者安全技术岗，在正规论坛发表文章是一项硬性指标了。在Freebuf看到《一个人的安全部之企业信息安全建设规划》文章后，我也想总结一下这些年我的一些工作经验，而且想听取下各位同行的指导意见。

我的大部分时间都是在一家韩企工作，从网络工程师到安全工程师，再到现在的安全主管，一直是做甲方的安全建设工作。从复制韩国信息安全管理策略、产品和技术方面的经验，到实施ISO27001认证项目、等级保护系统评测项目，再到现在的80%开源信息安全基础设施建设过程中，我的感受是防护外部威胁固然重要，但内部威胁的危害性和发生可能性比外部威胁高很多，但企业内部的安全隐患发掘和员工奖励机制很少实行，而且都觉得没必要这么做。但我的前东家是一直实行内部的奖励机制，这是提高员工安全意识的重要工作。

我的信息安全工作启蒙是，在韩国总部接受了两周的信息安全培训。其中最让我受益的是，SOC安全管理平台相关的内容。东家是做金融业务的公司，所以建设SOC平台投入了很多资源和时间（五六年前他们自评SOC平台的价值是100亿韩元以上，即0.6亿RMB）。他们的信息安全SOC平台是结合IT质量管理平台来建设的，架构层面主干系统是Splunk日志系统，再集成其他自行研发的流程管理系统、数据管理系统、办公管理系统等等。

我的信息安全规划，技术上就是设计SOC运营管理平台的过程。终端的操作日志收集和分析、网络流量的收集和分析、审批环节的日志收集和分析、数据的导出日志收集和分析、运维过程的日志收集和分析、身份认证过程的日志收集和分析，还有定时检查任务执行日志分析等等。实现这些需求，就需要花一定的时间去梳理和设计企业安全层面的业务规则（如：敏感信息保护业务规则）。

管理上是落地ISMS体系中的各类安全管理策略。其中一级制度是办公环境安全管理办法（员工行为准则）和信息资产安全管理办法（资产保护准则），我做安全审计和审查是基于这两个制度文件来进行的。二级制度最主要的是信息安全事件管理办法和业务上线安全管理办法，依照这两个制度，IT需要遵守安全运维和配置要求、安全开发层面的要求、还有应急响应层面的要求。

落实这些管理层面的要求，就需要和运维团队一起制定安全管理Checklist。比如桌面标准化的管理、网络安全的管理、运维配置的管理等等。还有搭建自动化或者手动的各类安全检测工具。落实这些方案或项目时，我遵循的过程是先梳理出来全部过程，然后提出我的问题和解决方案。总结成口号的话，就是”勤梳理、说问题、提方案、讲思路“。

我实施的时候，给领导看的一定是跟运维团队或者开发团队达成共识的内容。每出台一个规范类信息安全方案时，公开地虚心听取每个人的意见，私底下再讨论方案的内容。实施后再写一个实施总结报告，这样落实几个方案之后，跟运维和研发的同事们慢慢就建立起了信任和默契。做信息安全工作的关键是，打破跟运维团队和研发团队的敌对情绪。只要提出的安全需求（梳理的安全问题清单）和理论依据（OWASP文档之类）和目的明确了，运维和研发也会更顺畅的配合，比如实施部署开源安全检测工具的运维项目。

还有一个工作重点是，编写和汇报每月的信息安全月报的内容。报告的主要内容是信息安全管理制度体系建设、安全基础设施建设的进展和安全审计的内容。安全审计是除了专项审计外，日常的审计就是运维团队的操作日志、账号管理、安全加固配置，还有网络流量的分析。

下面是我参考《互联网安全建设0到1》内容，自行编写的信息安全规划方案提纲。供大家参考。还有说一下本文的重点：如果可以，本人想加入“甲方安全-清流会”团体。特提请“清流会”批准。@liong03