►规划本身先是一种工具，有具体的使用说明，包括范围、目标、资源和时间等要素，将其打开领会是基本的要求。当然，胡乱一通罗列工作任务，或者毫无轻重地执行，虽然是一种简单的方式，但这有点顺其自然又有点苦力蛮干，不属于我们要谈的规划本身。规划是为了在当下之后的一定时期内，以最好的姿态获得所预期的东西，规划本身就是一种机会主义与经济主义的结合体，通过有条不紊地组织、安排、分配和推动工作，以实现既定的目标和成果。

工作规划不能唯任务论，规划不是为了做而做，也不是该怎么做就怎么做。在职业生涯和工作环境中，需要理解工作规划同机会主义与经济主义的关系。规划作为一种系统性方法，需要理解目标制定、任务分解、资源分配、时间安排、风险评估以及绩效评估等结构性内容，意识到每个结构背后开展所需的工具，如WBS、甘特图、工作清单，这些不作展开。

►网络安全规划是一种策略，是用于保护网络免受未经授权的用户侵害，并防范可能危害或损害系统安全的事件的方法和技术。组织使用的方法和技术可能包括创建安全策略和过程，这些策略和过程描述了企业打算如何满足其系统的安全要求。安全规划其实是一个动态文件体系，也就是说，需要按指定的时间间隔进行审查或维护，以确保它是最新的并符合法规要求、网络拓扑或业务流程的重大变化。网络安全规划的治理（笔者认为“治理”强调对于复杂性和不确定性的管理）和维护因组织而异。许多企业会拥有CISO、CSO、DPO、安全经理、安全总监或合规/风险经理等岗位，中小型企业可能有一个人在管理层担任多个职务的情况，身兼多职。无论企业组织的信息技术层次结构如何，安全规划都应由能够有效将策略精神传达给最终用户的组织成员进行管理。

►现状调研是在制定目标或解决问题之前，对当前情况进行全面的了解和评估，是一个非常重要的过程。就如同医生在诊断病情前需要了解患者的现有症状和体征，才能判断出身体可能存在的问题并作出相应的治疗方案。在我们的工作中，“检查身体”不只需要进行“内部”检查，还需要和外部同行业的企业进行对比分析。我相信，无论一个企业在行业内如何优秀，甚至是很多行业的领军者，在某些方面仍然需要向比它小得多的企业学习，无论是管理还是技术创新。我们需要看到别人的长处或者不足，学习别人的“长处”，同时对不足提前做预案，少走弯路。

常见的现状调研方法同样分为内部和外部。对于企业内部来说，最常见的方式就是面谈，与本部门工作密切相关的部门领导或者核心人员进行面对面交流，以了解他们的发展现状和未来期望。例如，在研发企业内，研发成果是一个企业的立足之本，产线短期停工可能只会影响一个订单的交付周期，并不会给企业带来严重的生存危机；但产品核心信息泄露，或者储备的研发信息泄露，那么对这类企业的发展将会产生致命影响。此外，也可以采用问卷调研的方式，对全体或部分企业员工进行意见收集。问卷的设计需要根据想得到的反馈来进行，以确保可以收集到有用的信息，而非无关紧要的杂乱信息。

对于外部企业的学习，首选是与自身同行业的领先企业，无论本部门是做什么的。比如笔者所负责的部门是信息安全，但在同行TOP企业信息收集时，是会对业务、财务、IT、安全等各个方面都进行广泛收集。因为企业所有部门最终目标是盈利，各部门之间是会有相互关系的，所以不能片面地只收集与自己部门相关的信息。

根据征文活动规则，综合每日打卡、投稿及文章阅读量折合积分后，现将参与者总积分表公示↓