数据安全项目实施前的“非主流”必要工作

想搞明白一个数据安全项目，咱首先得摸清楚它的 “底细”，也就是项目背景。为什么要做这个项目？是监管部门下了命令，还是业务安全方面出了状况，急需解决？这可得搞清楚，因为这是后续制定项目计划、方案的关键基础。

如果是因为监管要求才做这个项目，那可得把监管从哪儿来的，具体要求是什么，都确认得明明白白。特别是甲方对这些监管要求怎么样的态度，是差不多满足就行，还是必须要完全满足，这都得摸透。

如果是业务安全问题 “逼” 着做这个项目，同样得搞清楚背后的原因。是公司高层从战略层面考虑的，还是因为不小心出了安全事故，才赶紧立项？只有搞清楚为什么要成立这个项目，咱后续干活儿心里才更有底。

咱乙方干活，要确保和甲方对项目大目标以及小目标理解一致，这样才能保证项目实施时大家朝着同一个方向前进、使劲。

大目标对齐：也就是项目的最终目标，它是最容易理解和对齐的，比如客户需要对20个系统中的数据进行资产盘点，输出分类分级清单。这个基本开一次大会就可以对齐。

小目标对齐：也就是关键节点目标，它是最繁琐，也是最不容易对齐的。因为关键节点目标最容易受到甲方的公司企业文化，以及对接人的做事风格影响，比如每完成5个系统分类分级，就要输出一份报告向甲方进行汇报。所以对于项目中的关键节点目标（里程碑），需要多次和甲方的对接人核对修正，确定大目标不歪的情况下，制定并对齐符合甲方的企业文化以及对接人风格的节点目标。

咱这儿说的项目需求，可不是那种 “照着某某规范或制度” 的售前说辞。而是指要厘清项目要覆盖哪些部门，多少办公终端，多少系统，以及所部署产品须满足哪些功能等内容。

为什么要弄明白这些需求呢？这里面有两个讲究：

其一厘清这些内容可为项目计划和方案制作的素材。

其二厘清这些内容在合同、SOW或者其他项目验收依据中写清楚，作为项目推进和变更凭证，避免项目蔓延。

在签项目合同前，咱得跟甲方把项目验收的方法问个明白，到底是甲方自己内部审计通过就算验收，还是必须通过外部审计（也就是第三方审计）。

内部审计：甲方自己的审计部门来审核，审计是否通过，审计部门都没有既得利益，所以会比较公正公平，不会在合同条款上跟咱玩文字游戏。只要项目合同没啥大毛病，一般都能顺利通过验收。

外部审计：第三方审计，甲方这么做的目的是为了避免内部徇私舞弊，但咱乙方得清楚，甲方花钱请的第三方，怎么着也得给甲方一个交代，所以这些第三方审计就容易抠合同里的字眼，有时候咱解释半天，他们还不一定能理解。所以一旦确认项目验收的请的是第三方审计，那么项目合同中的描述**是这次项目可实现的内容，老老实实不要写任何超范围的描述，比如“实现数据全生命周期安全”这种。

这最后一点，我觉着那可是重中之重。项目实施前，一定要摸清楚甲方项目对接人在项目中的话语权，这可直接决定项目能不能顺顺当当推进。

如果能确定对接人有较高的话语权，那遇到需要赶紧拍板的关键问题，咱就直接找对接人沟通。相反，如果对接人话语权有限，就需要直接和有决策能力的人员进行对接（一般是对接人的上级），避免在对接人无法拍板的情况下浪费时间等待上级指示，从而保证项目能够按照合理的进度向前推进。

另外，搞清楚对接人话语权还有个好处，能避免出现因沟通对象错误而导致的项目反复。如果不清楚对接人的话语权，可能会出现已经和对接人达成一致的内容，却因为真正有决策权的另有其人而被推翻这不就白忙活了么。

以上5点虽然为实际项目中“血”和“泪”的经验总结，但仅作参考，每个项目有每个项目的特殊情况，也请各位项目经理根据实际情况实施。