第四部分，分享一下我們具體的安全規(guī)劃的實施方式和方法。這張圖我們花了很大的精力、費了很長的時間做的，大家可以看到這張圖分成了兩個框架，前面是信息管理框架，后面是技術框架。這些部分我們要做的工作非常多，這就是我們現(xiàn)在面臨的現(xiàn)狀，你把它都放在里面，哪些做了、哪些沒做、哪些是著急做的，右上角的位置是我們做的分析，我們會逐步的去做。因為信息安全建設不是一蹴而就的，我們要有一個漸進的過程。

剛才大家看到了這么多的內容，企業(yè)也不可能一次性把它實施完成，所以我們有自己的實施路線圖優(yōu)先級的考慮。我們會從嚴重性、風險、收益、易實施性、最佳實踐5個維度進行，把我們的事情進行輕重緩急的分配。這是我們整體上在實際運作的時候做的一個路線圖，我們做了3年安全規(guī)劃的投入，大概的投入是控制預算在1000萬以內，每年投200萬到300萬，能達到最終做到3．0。大家可以看到，我們在這個行當做到3．0就OK了，沒必要往4．0做，因為所有投入都是要成本的。這個也是對應我們的安全成熟度滑動標尺，我們第一步在第一年是建體系、搭圍墻，做基礎保障安全。第二步是梳理數據資產，建保險柜，來實現(xiàn)縱深的防御。第三步是運維保障，主動防御，做到整個企業(yè)的安全運營。這是每個環(huán)節(jié)我們要做的一些內容，也把它分解到這張圖里了。

這是我們的建設內容實施規(guī)劃，1．0的時候要做哪些工作，我們細化出來了，第二年2．0的也細化出來了，第三年3．0要做什么也細化出來了，一步一步，這樣我們的規(guī)劃才能落地。這個又細了一步，直接到了建設層面上，大家看一下這些項目，包括方案選型、預算，一個規(guī)劃怎么落地、要做哪些事、要花多少錢。這里給大家分享了一個點，建設模式大家一定要想清楚，比如說我們的信息安全組織的建立肯定是自主建設的，一個企業(yè)沒有信息安全組織就沒有組織保障，你的事情是做不好的。但是安全制度和流程的建立，我建議各位請外面比較成熟的咨詢公司去搭建一個體系，后面這些可以用外部支持，自己也可以去做�？v深防御階段，我們要做數據放泄露、數據庫審計、工控系統(tǒng)安全等等，這是根據我們企業(yè)的情況的缺失部分。這是到3．0以后要做的工作，底下還有一些內容，我只是給大家舉了一下。

基本上今天給大家分享的企業(yè)信息安全建設規(guī)劃方面的情況就是這樣，最后的結束語我想和各位分享一下，信息安全問題歸根結底是人的問題，信息安全管理是核心，技術是手段，道高一尺，魔高一丈，信息安全建設只有起點，沒有終點，我們永遠在路上。我今天的分享就到這里。謝謝各位！