1. 一些基本观点

本章先去尝试和读者确立起相同的或者类似的观点，虽然说推荐辩证思考，但如果基本观点不相同的话，那很显然说明这套方法可能对您起不到多少帮助。这里的观点虽然大都与技术无关，但需要每个安全架构师都能时常记住。

业务形态决定IT设施

业务形态决定了IT的形态[1]，IT建设需要围绕业务进行，更遑论安全。

没有绝对安全的系统

没有绝对安全的系统，任何系统都存在被攻破的可能性。无论是通过技术手段还是社会工程学等，总有办法被攻破。

知道你的Scope[2]

知道团队、个人的职责范围，权力范围。如果不知道，务必先明确之[3]。

关注需要的资源

当知道有多少预算时才知道能搭建多大的团队、采用什么级别的产品、提供什么样的服务、需要多少资源、多少时间、是否能够得到上级的充分支持，合作团队的配合等。

关注生态

业务及业务周边，同样，安全能力建设中的合作部门，安全产品厂商，白帽子阵营等等。

[1] 曾有一部分讨论是监管和业务形态的关系，可以确定的是业务所在的赛道明确了企业可能受到的监管，这是赛道的规则。也许有时还没有规则，但最终肯定是要有的。

[2] 未把Scope翻译成范围。

[3] 安全建设不是一个团队的事情，是整个企业所有员工需要共同参与。