自2023年10月起，“诸子笔会2023第二季”正式拉开帷幕。10位专家作者组成新一届“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取万元高额奖金以为，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会2023年10月回顾及盘点。

10月主题：创业史：目标与规划

在累计21天的征文星球打卡中，9位笔会专家共计打卡125次。对于任何职业来说，想要达到一定的目标都需要在不同时间、不同阶段制定不同的规划。对于网络安全来说，目标和规划的设定不仅能够帮助企业更好更快地建设安全，还体现出CISO的综合水平和专业能力。对此，9位专家站在各自视角，分享了其在工作中的目标和规划。

在此摘选个中优秀观点，向各位分享。

如何确立目标？

►定目标就是确定企业未来往哪里走的问题，方向错了，企业的未来也必将失败，需要结合企业的愿景、使命、价值观，再根据意愿、机会、能力、环境等因素进行分析。

在做战略规划定方向时，需要建立明确的符合企业发展的规则，符合的去做，背离的坚决不做，聚焦主要前进方向，避免方向不定带来的风险。大家都听说过胖东来的经营理念，始终以员工的幸福感为使命，一个健康充满爱的企业当然能够为老百姓提供充满爱的服务，市场反哺经营想做差都难。可更多的企业还是资本属性，坑消费者，压榨员工，倒闭也不会太远。

在企业寻求未来发展机会时，必须对外部环境进行客观分析，结合社会发展、政策规划、行业环境、生态市场等方面，找准机会点和风口。雷军也说过“如果站在了风口上，猪也能够飞起来”，可见顺势迎风是非常重要的。机会有了，如何抓住机会也非常关键，企业的组织架构，人才队伍，制度流程等内部能力也不可或缺。

►当我们在组织里的时候，如何确定目标呢？首先看所在组织的情况，通常会遇到以下两种情况：

一、原来没有开展网络安全工作，或者是新建的组织，需要你从头开始建设网络安全；

二、原来已经有一定的网络安全策略和流程，需要持续运营或加强网络安全。

上述两种情况，都需要你了解企业的主营业务，以及所在行业的监管要求。同时，你还需要和各利益相关者（公司负责人、部门或团队负责人等）进行沟通，了解过往出现过的网络安全事件，以及对业务的影响，从而了解各利益相关者对于网络安全的期望和目标。这样沟通以后，至少你可以得到两个方面的网络安全目标。

接着，我们要对目标进行分析，按网络安全工作的客观规律，以及监管合规目标和业务安全目标的重要性和实现方式，进行优先级排序。明确重点，依据现有资源制定初步的规划，并和各利益相关者进行沟通，确认网络安全目标的排序，短期目标和长期目标，以及哪些目标可以舍弃和忽略。

然后，依据目标和资源（包括现在的资源和未来会增加的资源），进行规划。在这个过程中还需要进行差距分析，对资源进行排期，考虑中间可能的变化，留出一定的缓冲。

►我个人认为，虽然说不想当将军的士兵不是好士兵，但是在网络安全领域中，不是每个人都适合当首席信息安全官CISO，或许更多人愿意发展自己的技能，成为一个顶尖的安全研究员。在我看来，网络安全从业中，走技术路线比走管理路线更加长久，因为管理容易被替代，而技术相对来说比较稳当，容易成为个人安身立命之本。

个人目标的设定可以考虑以下方面：

1.明确兴趣与技能。在开始阶段，我们需要明确自己的兴趣与技能，善于与人沟通、项目管理的，走管理路线还是合适的；善于技术的，不愿意太多社交的，走技术路线就不错；还有可能觉得自己未来对网络安全领域不是很感兴趣，也可以考虑尽早改行。人不要在一棵树上吊死，这个很重要。

2.短期目标的设定。大家开始设定的都是短期目标，比如三个月、半年、一年的目标等，同时需要制定相应的计划。我个人建议短期目标的设定也要看自己的实际，参考自己的年龄、性格。像我们这些中年人，不太适合设置过于激进的短期目标，不然很容易就完成不了。所以短期目标可以设置宽松一点，大多数人只是生活，所以对自己好一点是必须的。

3.长期目标的设定。大家设置长期目标的时候就要考虑三年、五年、十年的目标了。如果是创业的公司，公司的存活还比较成问题，可能三年目标就很长了。根据现在的经验，九成的创业公司是活不下去的，那么长期目标首先是公司活下去，业务活下去；相应地，我们个人的长期目标也应该与之匹配。管理型人才需要考虑人脉的拓展，技术型人才需要考虑技术的打磨。

4.目标的调整与反思。这个时代唯一不变的就是变化，这在网络安全领域里同样适用，对于一家普通的创业公司更是如此。公司的KPI、OKR会随着市场变化，那么我们的目标也必须跟着变化。同时我们需要不断地反思和调整，因为有时候，目标的调整是一门学问，也是一种能力。

如何制定规划？

►规划本身先是一种工具，有具体的使用说明，包括范围、目标、资源和时间等要素，将其打开领会是基本的要求。当然，胡乱一通罗列工作任务，或者毫无轻重地执行，虽然是一种简单的方式，但这有点顺其自然又有点苦力蛮干，不属于我们要谈的规划本身。规划是为了在当下之后的一定时期内，以最好的姿态获得所预期的东西，规划本身就是一种机会主义与经济主义的结合体，通过有条不紊地组织、安排、分配和推动工作，以实现既定的目标和成果。

工作规划不能唯任务论，规划不是为了做而做，也不是该怎么做就怎么做。在职业生涯和工作环境中，需要理解工作规划同机会主义与经济主义的关系。规划作为一种系统性方法，需要理解目标制定、任务分解、资源分配、时间安排、风险评估以及绩效评估等结构性内容，意识到每个结构背后开展所需的工具，如WBS、甘特图、工作清单，这些不作展开。

►网络安全规划是一种策略，是用于保护网络免受未经授权的用户侵害，并防范可能危害或损害系统安全的事件的方法和技术。组织使用的方法和技术可能包括创建安全策略和过程，这些策略和过程描述了企业打算如何满足其系统的安全要求。安全规划其实是一个动态文件体系，也就是说，需要按指定的时间间隔进行审查或维护，以确保它是最新的并符合法规要求、网络拓扑或业务流程的重大变化。网络安全规划的治理（笔者认为“治理”强调对于复杂性和不确定性的管理）和维护因组织而异。许多企业会拥有CISO、CSO、DPO、安全经理、安全总监或合规/风险经理等岗位，中小型企业可能有一个人在管理层担任多个职务的情况，身兼多职。无论企业组织的信息技术层次结构如何，安全规划都应由能够有效将策略精神传达给最终用户的组织成员进行管理。

►现状调研是在制定目标或解决问题之前，对当前情况进行全面的了解和评估，是一个非常重要的过程。就如同医生在诊断病情前需要了解患者的现有症状和体征，才能判断出身体可能存在的问题并作出相应的治疗方案。在我们的工作中，“检查身体”不只需要进行“内部”检查，还需要和外部同行业的企业进行对比分析。我相信，无论一个企业在行业内如何优秀，甚至是很多行业的领军者，在某些方面仍然需要向比它小得多的企业学习，无论是管理还是技术创新。我们需要看到别人的长处或者不足，学习别人的“长处”，同时对不足提前做预案，少走弯路。

常见的现状调研方法同样分为内部和外部。对于企业内部来说，最常见的方式就是面谈，与本部门工作密切相关的部门领导或者核心人员进行面对面交流，以了解他们的发展现状和未来期望。例如，在研发企业内，研发成果是一个企业的立足之本，产线短期停工可能只会影响一个订单的交付周期，并不会给企业带来严重的生存危机；但产品核心信息泄露，或者储备的研发信息泄露，那么对这类企业的发展将会产生致命影响。此外，也可以采用问卷调研的方式，对全体或部分企业员工进行意见收集。问卷的设计需要根据想得到的反馈来进行，以确保可以收集到有用的信息，而非无关紧要的杂乱信息。

对于外部企业的学习，首选是与自身同行业的领先企业，无论本部门是做什么的。比如笔者所负责的部门是信息安全，但在同行TOP企业信息收集时，是会对业务、财务、IT、安全等各个方面都进行广泛收集。因为企业所有部门最终目标是盈利，各部门之间是会有相互关系的，所以不能片面地只收集与自己部门相关的信息。

网络安全目标及规划实践

►进入云和数字化时代，企业的数字化转型进入深水区，企业不仅需要基于云上开发提升数字化业务能力，更需要保护企业的应用程序和数据免受安全威胁和攻击。特别是医疗行业，医疗数据面对日益复杂多变的网络或威胁环境、医疗机构必须深刻认识到业务与安全的有效融合对数字化转型的重要性。企业需要在战略高度将安全融入业务发展计划，建立一个既安全又高效的数字化业务体系，推动业务与安全的一体化。

实现“业安融合”，涉及业务和安全两个层面。从业务层面来看，先进的云安全体系可以帮助医疗机构在创新能力、患者信任、业务敏捷性、企业品牌声誉以及患者体验等方面建立差异化的竞争优势。从安全角度来看，先进的云安全体系不仅可以提升企业对风险和安全事件的响应能力，还能为企业在采用云原生技术等战略性领域提供重要价值，使其更加主动和战略地应用这些技术。

►VUCA，是Volatile、Uncertain、Complex、Ambiguous的缩写，这四个单词分别是易变性、不确定性、复杂性和模糊性的意思。

V=Volatility（易变性），是变化的本质和动力，也是由变化驱使和催化产生的；

U=Uncertainty（不确定性），缺少预见性，缺乏对意外的预期以及对事情的理解和意识；

C=Complexity（复杂性），企业为各种力量、各种因素、各种事情所困扰；

A=Ambiguity（模糊性），对现实的模糊，是误解的根源，是各种条件和因果关系的混杂。

VUCA一词起源于20世纪90年代的美国军方，指的是在冷战结束后出现的多边世界，其特征比以往任何时候都更加复杂以及不确定。在2008年全球金融危机发生后，VUCA时代的概念再度兴起，而到了今天，VUCA时代的特征尤其明显，具体体现在：

1、颠覆性的科学技术层出不穷加剧了易变性；

2、国际局势变化和全球突发事件导致了不确定性；

3、组织和个体价值观的多元化导致了复杂性；

4、信息传播和舆论生态的多元化导致了模糊性。

►建立应用安全常态化运营机制。通过应用安全运营指标、运营报告、漏洞复盘、安全评估复盘等，驱动项目安全评估覆盖率、漏洞修复率及检测率的提升等，通过应用安全运营发现应用安全领域存在的问题，及时反馈和改进，促进应用安全各项工作有效性推进和能力提升。

应用安全运营领域指标设计。完成漏洞、SDL、风险等指标设计，包括当前漏洞总数、已修复漏洞总数、未修复漏洞总数、总修复率、漏洞发现来源分布、各中心漏洞排行、漏洞类型分布、安全评估用时、各中心接入数量、各中心安全评估覆盖率等。