目的

获得高层支持，理解组织文化和决策流程。

关键活动

• 与CEO、CTO、CFO及其他C级高管会面，明确我的角色、职责和期望。
• 建立与法律、合规、人力资源和内部审计部门负责人的初步联系。

交付成果

• 一份明确的角色与职责（RACI）图初稿。
• 一份关键利益相关者地图和沟通计划。

目的

确保安全工作直接服务于业务目标，避免脱离实际。

关键活动

• 与各业务线负责人（如销售、市场、产品、运营）进行一对一访谈。
• 识别并记录关键业务流程、核心价值链、主要收入来源和战略增长领域。

交付成果

• 一份“业务架构摘要”文档，概述关键业务功能及其优先级。
• 一份将关键业务流程映射到支持性IT系统的初步图表。

目的

建立“我们拥有什么”的基线，这是所有风险评估和保护措施的前提。

关键活动

• 启动“盘点”流程，识别关键技术资产（服务器、网络设备、云账户）和数据资产（客户PII、财务数据、知识产权）。
• 与IT运营团队合作，利用现有工具（如CMDB、云控制台）获取初步清单。
• 引入数据分类概念，这是所有数据安全工作的基础。

交付成果

• 一份高层级的“关键资产清单”，按业务重要性进行初步分类。
• 一份“数据分类策略”初稿，定义敏感度级别，为遵守GDPR和CCPA等法规做准备。

目的

避免重复工作，了解历史背景和已知的薄弱环节。

关键活动

• 收集并审查所有现有的安全策略、标准、程序、网络图、过去的渗透测试报告和审计发现。
• 评估现有安全工具（防火墙、EDR、MFA等）的部署范围和配置状态，并对照CIS基准进行初步评估。

交付成果

• 一份“现有安全文档与控制措施差距分析”报告。
• 对现有安全工具有效性的初步评估。

目的

将模糊的安全问题转化为具体的、可衡量的、与业务影响挂钩的风险，为后续的预算申请提供数据支持。

关键活动

• 采用NIST CSF 2.0/MLPS/DSMM等框架评估，创建“当前状态档案”。
• 识别与行业标准（如CIS基准）和法规要求（如GDPR, CCPA）的主要差距。
• 引入NIST CSF Tiers来评估网络安全风险管理实践的成熟度。

交付成果

• 一份基于NIST CSF的详细“网络安全成熟度评估报告”。
• 一份按优先级排序的“风险登记册”，量化了关键风险的潜在业务影响。

目的

迅速降低实际风险，展示安全团队的执行力，并建立员工对安全计划的积极认知。

关键活动

• 从风险登记册中挑选2-3个高影响、低成本、易于实施的项目。
• 示例1：在所有面向外部的关键系统上强制启用MFA。
• 示例2：应用CIS基准强化标准员工工作站。

交付成果

• 已完成的“快速制胜”项目，并附有成功指标（如MFA覆盖率达到95%）。
• 向全公司发布关于安全改进的沟通频道。

目的

确立一个清晰的、现代化的技术“北极星”，指导未来所有的技术选型和项目设计。

关键活动

• 以NIST SP 800-207零信任架构（ZTA）为核心设计原则，定义未来安全状态。
• 概述关键架构转变（如从边界防御到身份驱动，从手动配置到IaC）。
• 在应用设计阶段强制要求使用STRIDE方法进行威胁建模。

交付成果

• 一份“目标安全架构蓝图”文档，包含高层级的ZTA设计原则和技术愿景。

目的

将宏大的战略转化为一个可管理、可执行、可衡量的行动计划。

关键活动

• 将“当前状态”和“目标状态”之间的差距，分解为一系列具体项目。
• 利用SABSA的可追溯性原则，确保每个项目都能追溯到业务风险或目标。
• 对项目进行优先级排序，考虑业务影响、风险降低程度和依赖性。

交付成果

• 一份为期3年的“企业安全战略路线图”，包含按季度划分的项目和里程碑。
• 每个项目附有SABSA风格的“业务驱动因素”摘要。

目的

将安全需求转化为财务语言，为获得预算批准提供强有力的商业论证。

关键活动

• 对路线图第一年的项目进行详细的成本估算。
• 使用“构建 vs 购买 vs 租用”决策矩阵，为关键技术投资提供TCO/ROI分析。
• 估算所需的人员（内部 vs MSSP）和工具许可费用。

交付成果

• 一份详细的“下一财年安全预算申请报告”。
• 针对重大投资的TCO/ROI分析报告。

目的

获得最高层的支持和资源承诺，为安全计划的长期成功奠定基石。

关键活动

• 将180天的工作成果整合成一份简洁、有说服力的高管简报。
• 沟通重点：业务风险、解决方案、业务赋能和所需投资。

交付成果

• 一份面向高管层和董事会的“企业安全战略与投资计划”演示文稿。
• 获得对路线图和预算的原则性批准。