本文讲的是这篇文章很好的诠释了为什么安全框架如此重要？，很多安全公司没有研究、开发和实现各种各样的项目框架不也运营的还行么？那我们为什么还要专门弄个团队来干这事儿呢？然而，“运营得还行”本身就是答案的一部分。在缺乏可见后果的情况下，安全主管和从业员工需要遵循框架来更有效理解自己的工作。

首先，得承认信息安全是一门历史不足30年的新兴学科。与IT其他方面和非计算机相关产业相比，信息安全还只处于婴儿期。不过，随着这一行业的成熟发展，杰出的领导者们开始共享自己的成功与困难，发展出供其他人遵循的模式。这些模式从口耳相传的话语，演变成了业界支持的正式框架。

安全框架就是为了给各种程序性安全机制的设计提供参考，以便确保我们能从全行业的成功和失败经验中获得益处。

制定框架与征求1000名密友(财富1000强公司)同意订披萨很类似。制定旨在提供广泛辅助的模型或框架，并非努力找出共同点来让每个人都高兴。而是努力定义一个能让最少的人大为光火的框架。可以设想一下负责组织赛跑的情形。基本上每个人对需要设置起点和终点都没有异议，但中间的部分，可以争论的地方就太多了。

那么，为什么框架是折磨安全公司的诸多问题的解呢？安全公司面临的两大挑战，一是可复现性，二是标杆管理。安全企业难以复现同时代公司及同行的成功——特别是每家企业都感觉像是独一无二的雪花。标杆管理是随着高管们开始在行业内交流经验而在业内兴起的东西。

试想一下在财富1000强公司里建立网络威胁情报(CTI)项目的情形。该怎样利用同行在医疗健康公司处得到的教训和经验，来设计对金融服务公司有效的CTI项目呢？另外，又该怎样避免因产品驱动而创建的具有可互换组件的项目呢？答案是：实现既规定了每个CTI项目都需要的核心功能(做什么)，又留出单个用例具体实施细节(怎么做)的框架。这就在创建了灵活性的同时，又持有标准供多市场垂直行业进行比较(标杆管理)。

从结果起步的模型能让人理解朝向的目标，解决有效性问题。可以跨定义好的功能、核心和元素建立起一系列形成结果的能力。这些能力是从一些需要资源(人、过程、技术)来运营的活动中建立起来的。

如果你想要的结果是击败2016 F1赛车总冠军车队，你就需要一个框架。既然有了目标，现在需要的就是获得那些功能性元素，或者说，构建砖块。

基本构建砖块是车轮、引擎、车架、机师、工程师、老板、媒体关系和其他上百万个组件。然后，可以开始搬砖了——拿机师举个例子，要确保他们有能力在2.8秒内换完4个轮子。为了拥有这种能力，你至少得要12名机师、车轮、气动工具和其他东西。这些就是你的资源。最后，你还需要分析出该怎样衡量是否已经成功打败该冠军车队的方法。

在现实世界中，度量似乎很简单——上述案例中，跟踪单圈计时便可知。但在数字程序开发的世界，潜在度量的迭代太多了，而它们之中又极少有表达性和可复现性都足以和业务相关的。

那么，怎样打造一个有效的CTI项目呢？从确定你想要的结果开始。自此，你可以垒砌功能性构建砖块，找到你需要开发出哪些能力来支持你的结果。然后，草拟出构建这些能力所需的活动和资源。最后，找出衡量评价的方法。就这么简单。

然而，事情实际上并没有叙述的那么简单。拿出一个框架需要成千上万小时对公司及其运营的研究分析，然后再从这些仔细观察和分析的数据中构建出模型。不如去找一个符合自家公司项目要求，适合公司方向和特定需求的框架。找到这么一个框架，采纳它，持续应用之。今天开始应用的框架，或许就是你明天调整预算需求、额外人员和促销的途径。

原文发布时间为：十二月 19, 2016