为什么我们要提安全体系建设这种思路呢?是在这几年的过程中我们发现了一个问题，在很多运营商省公司的层面，安全事故触发的安全建设，厂商以新产品和新技术推动安全建设，缺乏安全能力、缺乏安全远景设计、缺乏明确实施计划、系统间安全建设割裂。有些部门在做一套不同的安全系统，另外一个部门在做另外一套安全系统，两部门间信息无法共享，当出现跨部门的安全事件的时候完全无法处理。这是我们总结出的一些遇到的问题，我觉得更多的还是思路上的问题，没有从更高的层面去考虑这些问题。

　　那么怎样不再以自下而上的方式来解决安全问题，我们想要以自上而下的方式结合自下而上的方式来解决安全问题，我们可以建立一套目标，或者叫安全体系框架和指标，我们把管理方面和组织方面称之为一系列的要求，比如说三年以后这个公司的信息安全应该建设成什么样子，把这个蓝图画出来。另外我们要做的是对现状的描述，要采用一个自上而下的方法对现状进行一个很好的描述。还要做对安全指标的差距，差距就是建设的动力，这个时候才能做信息安全的规划，分为两个大的方向，一方面是体系，一方面是技术体系，再做体系运营和持续改进，然后到定期评估、检查、审计和持续改进。我们的安全体系建设的思路是这样的一个思路，当然我们在整个安全建设的描述过程中也会考虑到现实的问题，所以我把它称之为一种全新的思路，就是把自下而上的方法与现在自上而下的两种方法很好的结合起来。

　　下面讲一下实际案例，某公司在04年就开始了安全体系的研究与事实，当时不仅仅从安全体系的思路来进行安全保障的措施，同时还遵照国家等级保护的要求，但实施过程中我们没有把这当做核心的目标，而是把它当做一种思路和方法，到目前为止已经完成了一个三年期的安全规划，安全体系已经初步建成。可以看下到了今年进行新的三年规划的时候环境有所变化，公司面临新环境是这样的，2008年奥运的召开，2007年信息安全建设工作，围绕着2008年奥运进行有针对性的建设，确保信息安全万无一失，这是我们为它制订安全使命中的一条，另外从2006年开始萨班斯法案就对安全监控和审计技术提出了更高、更迫切的要求。这里我们又增加了新的一条，从安全流程控制和审计工作方面改进现有的流程和管理办法，修整和改进现有信息安全体系，满足SOX要求。

　　集团对新安全技术的要求，奥运无线接入系统的大规模商用，奥运应用系统，由于3G带来的数据网大量应用的安全挑战，我们要在各个系统的建设中没有疏漏。这是对04、06年安全规划的一些执行情况，黄颜色的部分是部分实施的，红颜色是未实施的，灰色是实施比较良好的项目，有很多平台都是跨部门的。

　　我们通过了一个三年安全体系的建设和规划基本完成了一个比较完善的安全体系的建设，再详细看一下具体方法。反复强调这是一个自上而下的方法，来自于四个方面：依从法律法规、保护竞争优势、规范业务秩序和维护企业声誉。从这四个方面我们得出了信息安全的战略使命，我们制订的规范：保障业务安全和稳定运行，保证业务连续性，保护公司的商业机密和技术机密，为公司日常运转提供良好基础，支持和促进公司业务目标的实现;保护用户隐私，保护用户资料的机密性，维护用户的利益;达到国际一流、国内领先的信息安全保障水平，为广大用户对公司信赖的基础，提高公司的安全形象、确保客户的信心;为社会和用户提供安全和持续的通信服务，维护国家和首都的社会稳定和经济秩序，维护公众利益。公司信息安全工作的目标，长期安全目标，建成国际一流、国内领先的信息安全保障体系，达到国际一流、国内领先的信息安全保障水平，同步或领先的公司信息化水平，保障和促进公司业务发展和业务目标的实现。2004-2006年的安全目标，要做到的短期目标，解决目前击破和关键的问题，争取在短期内安全状况有大幅度提高。三年的目标来看，是搭建安全体系框架，初步建成信息安全体系，包括人、技术和流程。