很多安全公司沒有研究、開發(fā)和實現(xiàn)各種各樣的項目框架不也運營的還行么？那我們?yōu)槭裁催€要專門弄個團隊來干這事兒呢？然而，“運營得還行”本身就是答案的一部分。在缺乏可見后果的情況下，安全主管和從業(yè)員工需要遵循框架來更有效理解自己的工作。

首先，得承認信息安全是一門歷史不足30年的新興學科。與IT其他方面和非計算機相關(guān)產(chǎn)業(yè)相比，信息安全還只處于嬰兒期。不過，隨著這一行業(yè)的成熟發(fā)展，杰出的領(lǐng)導者們開始共享自己的成功與困難，發(fā)展出供其他人遵循的模式。這些模式從口耳相傳的話語，演變成了業(yè)界支持的正式框架。

安全框架就是為了給各種程序性安全機制的設(shè)計提供參考，以便確保我們能從全行業(yè)的成功和失敗經(jīng)驗中獲得益處。

制定框架與征求1000名密友(財富1000強公司)同意訂披薩很類似。制定旨在提供廣泛輔助的模型或框架，并非努力找出共同點來讓每個人都高興。而是努力定義一個能讓最少的人大為光火的框架。可以設(shè)想一下負責組織賽跑的情形。基本上每個人對需要設(shè)置起點和終點都沒有異議，但中間的部分，可以爭論的地方就太多了。

那么，為什么框架是折磨安全公司的諸多問題的解呢？安全公司面臨的兩大挑戰(zhàn)，一是可復現(xiàn)性，二是標桿管理。安全企業(yè)難以復現(xiàn)同時代公司及同行的成功——特別是每家企業(yè)都感覺像是獨一無二的雪花。標桿管理是隨著高管們開始在行業(yè)內(nèi)交流經(jīng)驗而在業(yè)內(nèi)興起的東西。

試想一下在財富1000強公司里建立網(wǎng)絡(luò)威脅情報(CTI)項目的情形。該怎樣利用同行在醫(yī)療健康公司處得到的教訓和經(jīng)驗，來設(shè)計對金融服務(wù)公司有效的CTI項目呢？另外，又該怎樣避免因產(chǎn)品驅(qū)動而創(chuàng)建的具有可互換組件的項目呢？答案是：實現(xiàn)既規(guī)定了每個CTI項目都需要的核心功能(做什么)，又留出單個用例具體實施細節(jié)(怎么做)的框架。這就在創(chuàng)建了靈活性的同時，又持有標準供多市場垂直行業(yè)進行比較(標桿管理)。

從結(jié)果起步的模型能讓人理解朝向的目標，解決有效性問題。可以跨定義好的功能、核心和元素建立起一系列形成結(jié)果的能力。這些能力是從一些需要資源(人、過程、技術(shù))來運營的活動中建立起來的。

如果你想要的結(jié)果是擊敗2016 F1賽車總冠軍車隊，你就需要一個框架。既然有了目標，現(xiàn)在需要的就是獲得那些功能性元素，或者說，構(gòu)建磚塊。

基本構(gòu)建磚塊是車輪、引擎、車架、機師、工程師、老板、媒體關(guān)系和其他上百萬個組件。然后，可以開始搬磚了——拿機師舉個例子，要確保他們有能力在2.8秒內(nèi)換完4個輪子。為了擁有這種能力，你至少得要12名機師、車輪、氣動工具和其他東西。這些就是你的資源。最后，你還需要分析出該怎樣衡量是否已經(jīng)成功打敗該冠軍車隊的方法。

在現(xiàn)實世界中，度量似乎很簡單——上述案例中，跟蹤單圈計時便可知。但在數(shù)字程序開發(fā)的世界，潛在度量的迭代太多了，而它們之中又極少有表達性和可復現(xiàn)性都足以和業(yè)務(wù)相關(guān)的。

那么，怎樣打造一個有效的CTI項目呢？從確定你想要的結(jié)果開始。自此，你可以壘砌功能性構(gòu)建磚塊，找到你需要開發(fā)出哪些能力來支持你的結(jié)果。然后，草擬出構(gòu)建這些能力所需的活動和資源。最后，找出衡量評價的方法。就這么簡單。

然而，事情實際上并沒有敘述的那么簡單。拿出一個框架需要成千上萬小時對公司及其運營的研究分析，然后再從這些仔細觀察和分析的數(shù)據(jù)中構(gòu)建出模型。不如去找一個符合自家公司項目要求，適合公司方向和特定需求的框架。找到這么一個框架，采納它，持續(xù)應(yīng)用之。今天開始應(yīng)用的框架，或許就是你明天調(diào)整預(yù)算需求、額外人員和促銷的途徑。